360webscan bypass | h3art3ars

admin 2023年1月8日02:16:28评论79 views字数 928阅读3分5秒阅读模式

绕过 360webscan 通防的方法

使用

将 360safe 文件夹放入网站根目录,在入口文件或者需要过滤的文件使用:

360webscan bypass | h3art3ars

测试代码

360webscan bypass | h3art3ars

360webscan bypass | h3art3ars

php_self 白名单绕过

原理

$webscan_white_directory='admin|/dede/|/install/';

php_self 中含有 admin 或者 /dede/ 或者 /install/ 时,不过滤字符

测试

传参 id=select * from aaa 拦截

360webscan bypass | h3art3ars

360webscan bypass | h3art3ars

在 urlpath 之后添加 /admin , /dede/ , /install/ 之后不拦截

360webscan bypass | h3art3ars

white_url 白名单绕过


原理


$webscan_white_url = array('index.php' => 'm=admin','post.php' => 'job=postnew&step=post','edit_space_info.php'=>'');


index.php?m=admin , post.php?job=postnew&step=post , edit_apace_info.php 不过滤


实例

360webscan bypass | h3art3ars

360webscan bypass | h3art3ars

360webscan bypass | h3art3ars

360webscan bypass | h3art3ars

这两个白名单的方法很容易会被使用的人给更改掉


超长字符串绕过正则


原理


360webscan bypass | h3art3ars

是正则表达式设置规则,因此可利用 PHP 利用 PCRE 回溯次数限制绕过某些安全限制


测试


360webscan bypass | h3art3ars

360webscan bypass | h3art3ars

当直接传参时候, 显示拦截了

360webscan bypass | h3art3ars

360webscan bypass | h3art3ars

当填充 payload 即 id 参数中 1000000 个 a 时

360webscan bypass | h3art3ars

插入绕过正则


原理


INSERT\s+INTO.+?VALUES

insert 数据可以用另几种方式

360webscan bypass | h3art3ars

这几种写法可以随意组合着用 

可用性测试:

360webscan bypass | h3art3ars

360webscan bypass | h3art3ars

绕过测试

360webscan bypass | h3art3ars

360webscan bypass | h3art3ars

另外,还可以用 replace into 来代替 insert 与 update ,而且 replace into 也有和 insert into 一样的三种写法加上一种普通写法都可以绕过。


老版本绕过


检测

WEBSCAN_VERSION:0.1.3.2

先在使用了 360 通防的页面上发送 ?id=union select ’1,2,3' 若是拦截,再发送 id = union select!1,2,3 不拦截,则可以 union 绕过。

可使用

360webscan bypass | h3art3ars

若是数据库编码不是 utf-8 则可以使用 %a0 隔绝 select 与 from 造成绕过。(编码问题不懂)

select%a0*%a0from%20tables

原文始发于微信公众号(Hack All):360webscan bypass | h3art3ars

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月8日02:16:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   360webscan bypass | h3art3arshttp://cn-sec.com/archives/1443856.html

发表评论

匿名网友 填写信息