绕过waf的另类木马文件攻击方法

很久没写文章了，继上次发先文章到今天已经很久了；今天突发异想；因为之前打了西湖论剑，遇到了宝塔的waf，最后也是过去了，便觉得另类的攻击方法值得写篇文章分享下；首先我打算分享几种。

本文涉及知识点的靶场练习——WAF渗透攻防实践 ：通过该靶场实操练习掌握基于规则的WAF的工作原理，通过分析相关防御规则，尝试使用多种方法进行绕过，使读者直观感受攻防双方的博弈过程。

一：动态调用

      首先，一些waf会对文件内容进行检索，如果发现有什么危险的函数，或者有什么危害的逻辑，都会进行拦击，所以我们不能写入一些危险的函数，否则就会被ban掉，其实在实际的攻击中，也是存在和这次论剑web1一样的绕过方式，在我们真正恶意代码前加入大量杂糅字符进行绕过；然后对后缀进行换行绕过；

那么就会存在此次web1的动态调用解法；

写入我们在上传的文件中并没有出现什么危险的函数，而是通过后期的get传入进行动态调用从而执行命令；这样就会绕过上传时waf的检测；但是绕不过disable_function;；

载荷效果如下：

二：利用.htaccess文件

对于利用.htaccess文件的攻击方法，其实有很多方法；包括自我包含造成后门，或者auto_prepend_file文件，或者自定义报错目录然后利用包含报错写入木马最后自定义包含，AddType等等。当然如果想搞怪的话，也是可以利用.htaccess打出存储型xss的效果；但是这里主题分享如果过滤了内容中的一些敏感字符应如何。

比如过滤了

代码逻辑简单，将我们的文件，进行了base64解密，然后写入的一个新的php文件中，这样避免了file_put_contents这个极大概率被ban的函数的出现，又成功的写入了文件，我们访问2.php，然后再访问s1mple.php就可以拿到shell；载荷效果如下：

四：利用低危木马；

基于第三种方法，我们如果不是拿权限的话，也是可以利用一些低危的操作，比如任意文件读取等等；

下面先来看这段getshell的代码

这段代码在之前可以绕过D盾，是基于注释的绕过；现在不确定还能否绕过；简单分析下逻辑；首先$s1mple得到本篇代码的所有内容；然后执行一个替换的语句；先释放出木马语句；然后再将php头换掉，保持了原本的php头；这样就释放出了木马，就可以通过get传参进行命令执行；

或者换种方法，这里我们可以直接file_get_contents函数进行攻击，

这样也就可以达到任意文件读取，当然，因为php的特性，也可以对file_get_contents进行各种处理，使其绕过waf；也可以结合其他php的内置函数进行攻击，可以类比；这里不在细说；

五：利用逻辑问题

这种思想比较新颖；简单来说，我们并不是传入恶意代码，而是传入一段正常的代码，然后通过逻辑修改其运作走向，从而达到恶意执行，那么适合的就是pop链的构造了；