搜索
查看: 1073|回复: 4

[漏洞战争活动]打造过WAF菜刀(逆向修改篇)

[复制链接]

1

主题

9

帖子

69

积分

我是新手

Rank: 1

积分
69
发表于 2016-7-22 14:39:07 | 显示全部楼层 |阅读模式
0x00 引子
这是后写的文章,之前发现的安全狗的一个弱点,然后只用来做sql注入,并没有考虑到可以用来绕过安全狗的一句话检测,本地环境测试。
Windows2003  
iis6.0
安全狗iis枸杞版3.5
chopper.exe   md5: e2caee9b7844ea06d964ad138d1da1f9   
吾爱破解专用版Ollydbg
LordPE
C32ASM
安全狗配置
0x01 尝试
主要是为了绕过安全狗的一句话检测,开启这个就行了。
在IIS目录放一句话木马。
最普通的那种,并没有各种乱七八糟的变形之类的。
通过浏览器访问。
正常的,并没有被拦截。添加到菜刀列表,访问试试看。
通过菜刀访问,被安全狗拦截了,打开fiddler看看封包。
0x02 分析修改
因为以前做过免杀,所以最早的时候没有各种工具可以定位,我是通过OD的一半一半法来定位被查杀的位置。
AAAAAAAAAAAAAAABAAAAAAAAAAAAAAA
我当时的想法是,能不能运用在过WAF上,先把特征码对半,然后慢慢对被检测的补位进行定位。
去掉一般的封包重发,还是被拦截,看来特征在前半段。
已经没有被拦截的提示,但是程序也是报错了,毕竟代码不完整,于是我想到了之前过安全狗的SQL注入是通过加很长很长的字符,然后就能绕过SQL注入检测,那么如果我给这段封包加很长的字符是不是也可以绕过。
通过增加很长的前缀,就过掉了安全狗,但是如果我每个封包都这样拦截修改是不是太麻烦了。于是我想到了通过OD修改。
原版的菜刀并没有加壳,可以直接修改,打开OD查看下字符串。
这个位置是ASP的原版字符串,通过这里修改就可以修改他的发包,但是因为需要增加的长多比较大,所以原程序并没有那么大的空地址段给我写,要自己另外增加区段。
上C32,新建一个文件,然后把前面的字符加进来。
区段做好了,然后用PEid把区段加到程序里。
然后通过OD修改,字符串偏移位置。
这里是004ab000
         保存下文件,然后用fiddler抓包查看是否天然带我们的字符串。
         通过修改发包已经天然带字符串,当然不止修改一个地方,要完成ASP完成可用要修改好几处位置。
         
0x03 总结
刚开始我认为这些waf是完美的,后来我发现,这些防火墙有些类似于早点的杀毒软件,通过特征库来拦截,只要找对特征,就可以对症下药,不同品牌的防火墙规则不同,但是换汤不换药基本都是这样的套路,兵来将敌水来土堰靠规则并不靠谱,修改web程序中的漏洞才是关键,过度依赖防火墙并不能很好的保护网站。以上是我自己的分析和观点,如果哪里有不妥之处还请谅解。
                                                                                                                                            By:草莓丶

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x

0

主题

6

帖子

18

积分

我是新手

Rank: 1

积分
18
发表于 2016-7-22 23:04:15 | 显示全部楼层
正常来说 浏览器打开一句话就会拦截 为什么你这个一句话不会被拦截呢?

1

主题

9

帖子

69

积分

我是新手

Rank: 1

积分
69
 楼主| 发表于 2016-7-22 23:14:15 | 显示全部楼层
piaoker 发表于 2016-7-22 23:04
正常来说 浏览器打开一句话就会拦截 为什么你这个一句话不会被拦截呢?

IIS的一句话不传参光打开不会拦截,appache的不传参打开就拦截,所以针对appache的一句话需要免杀才行。

0

主题

6

帖子

18

积分

我是新手

Rank: 1

积分
18
发表于 2016-7-23 06:39:00 | 显示全部楼层
草莓 发表于 2016-7-22 23:14
IIS的一句话不传参光打开不会拦截,appache的不传参打开就拦截,所以针对appache的一句话需要免杀才行。

这样的 学习了。

2

主题

52

帖子

196

积分

我是新手

Rank: 1

积分
196
发表于 2016-8-23 14:45:39 | 显示全部楼层
那么lz怎么没有上传刀呢
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表