查看:16910|回复：37
高级工程师
& &&&安全的攻与防一直永不过时的话题。
& &&&正如你渗透的某个网站，也许某一刻因为各种技术条件限制，你无法很好对其进行渗透，但是随着自己的成长以及研究。总会有些意想不到的小惊喜在等着你。
& &&&上一周，自己手上有不少的任务，所以前三天是论坛上的，后两天则去做自己手头上的事情。在渗透一个网站的时候，发现了一个数字型的注入点，正准备利用的时候。Duang,安全狗弹出来了。
(124.25 KB)
& &&&那天手上的任务不算太多，就打算手动测试一下，思考怎么去绕过安全狗（/(/ /o/ω/o/ /)/）。
& &&&那么下面来讲述我的故事吧！
& &&&(1)寻找到一个疑似数字型的注入点
& &&&访问网站之后，我对带id参数的url进行手工测试。发现有一个url的id参数有问题。
& &&&首先是正常的url,返回的页面如下图。
(111.2 KB)
& &&&之后我简单的遍历一下id这个参数，当id=1的时候。页面长这个样子。
(184.62 KB)
& &&&然后我开始验证是否可能存在注入点，一般对于这种数字型的参数。我们通过原id数值加减乘除另外一个数值，然后对比运算后的结果的页面与对应id页面是否一样。简单来说，要是id=37-36这个页面和id=1页面长的一样，我们可以猜测这里可能存在一个注入点。
& &&&然后将id参数变换成id=37-36，如下图。可以发现这个页面完全和id=1一模一样。
(78.99 KB)
& & (2)然后我使用order by [数字]来确定当前select语句的列数的时候，数据库报错了。如下图。
(60.57 KB)
& &&&由上图我们可以看见，原来后台的sql语句已经带有order by，那我们--+(在url中+表示空格)注释它好了。可以看到页面又和id=37的一样了。
(174.07 KB)
& &&&之后和常规一样，我们使用union select 1来获取数据。但是现实狠狠的给我们一个耳光，网站有安全狗。如下图
(61.78 KB)
& &&&之后，楼主开始测试了，想一想用%0a（对应着换行符）。不过好像并没有什么卵用。如下图
(59.36 KB)
& &&&那我们试试空字符%00，这个在很多场合有神奇功能的字符。好像有用耶，网站返回报错信息，如下图。
(98.11 KB)
我们可以看到37和union之间没有空格。我们加上一个空格看看。如下图，后台还是报错了，报错信息和之前一样，这说明%00这个符号在sql查询语句会有问题，那我们怎么办呢？
(87.46 KB)
我们将%00放在什么位置，对于sql语句是没有影响呢？我想机智的你会想到mysql的多行注释，我们只需要将%00放在/**/之间，mysql将会对%00视而不见。那我们来看看实际的结果。
(99.55 KB)
& &&&从上图可以看到，返回的错误信息不一样了。熟悉sql语句的同学会知道，这是在告诉我们我们union前面的两个select 语句不一样，这时候我们仔细观察一下，这里select 的列数变成了三列，和我们第一次测试的不一样。如下图，下面是我们第一次union的测试，可以看到这里只有一列。也就是说这个id参数用在了两次不同的查询，意味着我们无法通过union select在获取数据了。
(184.79 KB)
& &&&现在我们来理清一下思绪:
& &&&第一次select语句为: SELECT count(id) as c FROM `hdm0550293_db`.`m16_news` WHERE cid=37/**/union select 1,2,3-- LIMIT 1
& &&&第二次select语句为: SELECT `id`,`title`,`pic` FROM `hdm0550293_db`.`m16_news` WHERE isdisplay=1 AND cid=37/**/union select 1-- ORDER BY sort desc,id desc LIMIT 0,9& &
& &&&(3)既然union无法利用，那我们现在可以利用的技术为报错型注入与布尔盲注。
& &&&[1]我们测试updatexml(1,concat(0x7e,user()),0)
(76.44 KB)
& &&&[2]我们测试extractvalue(1,concat(0x7e,user()))
(68.42 KB)
& &&&[3]我们测试or (select count(*) from information_schema.tables group by concat(user(),floor(rand(0)*2)))，如下图。:-O，我的天呀，我们想要的数据出来了。
(116.06 KB)
& &&&获取当前数据库，or (select count(*) from information_schema.tables group by concat(database(),floor(rand(0)*2)))
(91.92 KB)
& &&&但是在获取数据表名的时候，狗狗还是检测到这种。
& &&&(select count(*) from information_schema.tables group by concat((select table_name from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2)))--+
(79.29 KB)
& &&&但是，我们起码已经一步步的绕过来，我们突破了它的几个防御点。所以为自己点个赞。
& &&&[2]当然我们也可以使用盲注技术来获取数据，可是一些常见的列表名还是会被封禁。下面是我在写盲注脚本跑出的库名。
& &&&(4)后来答主自己在本地环境安装了最新的apache版的安全狗。
(225.87 KB)
& &&&我们来测试测试，新版本是否可以使用%00。
& &&&[1]首先，我们先看一下我们发现问题的站点。使用/*%00*/and 1=1可以正常返回页面
(289.08 KB)
& &&&而看一下我本地环境，最新版的安全狗。这样是无法通过的。
(58.59 KB)
& &&&很可惜，这个%00符号，最新版的安全狗是检测的，但是为什么目标站点没反应呢？
& &&&可以看到安全狗有个选项，在线更新防护规则。安全狗对于新出来的注入是通过规则来匹配的，而很多网站以为装了安全狗就安然无恙了。殊不知缺乏管理，对安全的不作为，导致了他们即使有了waf，也会导致自己网站遭受黑客的攻击。
(39.66 KB)
& &&&(5)写在最后，网站是需要维护和管理的。时刻注意着系统和软件的更新，不要想着有什么银弹。自己的不作为，什么安全软件也无法帮助你。以前楼主看到安全狗也是很郁闷的，但是经过这一次分析，发现人的不作为往往给我们留下了机会。所以遇到安全狗，就去尝试绕过，也许你遇到的那个就是不作为的管理员。
& &&&(6)这个周末没有运动，呜呜！原本星期天打算去玩的，哎，今晚拿来写帖子了，好累的赶脚。点赞的不要吝啬啦。下次真的得考虑一下录个视频，不然写个帖子，我居然花了3个小时。
本帖最后由 qq 于
17:18 编辑
高。看过了，虽然不是很懂，但是感觉渗透的含义了。
引用:原帖由 qq 于
22:33 发表
& &&&安全的攻与防一直永不过时的话题。
& &&&正如你渗透的某个网站，也许某一刻因为各种技术条件限制，你无法很好对其进行渗透，但是随着自己的成长以及研究。总会有些意想不到的小惊喜在等着你。
& &&&上一周，自己手上有 ... 挺详细的一篇帖子，内容丰富~可以转载吗？？
高级工程师
引用:原帖由 MOLOK 于
08:53 发表
挺详细的一篇帖子，内容丰富~可以转载吗？？ 转吧，注明出处就可以。
站在低处，渴望更高
高级工程师
引用:原帖由 aleng 于
11:57 发表
高。看过了，虽然不是很懂，但是感觉渗透的含义了。 谢谢你的赞，还有一些关于怎么绕过安全狗的小想法，想做成讨论的形式。
对于渗透，理解还是随着知识的增多，才有多维度的理解
站在低处，渴望更高
中级工程师
非常精彩，点个赞
平安夜快乐
赞，学到了不一样的思维方式，谢谢楼主分享
高级工程师
引用:原帖由 some1236 于
14:43 发表
赞，学到了不一样的思维方式，谢谢楼主分享 谢谢你的赞，感觉自己分析绕过也是大量的测试，半自动化的话，就写脚本fuzzing发请求
站在低处，渴望更高
虽然看不懂，但是感觉到了SQL 的博大啊，楼主强大
不要哭，给你无忧币，去买糖吧 ...
最有价值午饭
很不错，最近想学习渗透的东西，楼主有啥好推荐的吗
【学习只是为了明白自己的无知】 ...
辛勤付出总会有收获，等着看视频
Welcome Back!
想要在网络的海洋自由的遨游吗？系统攻防欢迎你！！！
一个人没有金钱并不可怕，没有地位也并不可悲，只有不善巧思，缺乏智慧，才是人生最大的缺憾。
更多精彩请关注
同是狗，相煎何太急呢，不同的是我是单身狗，你是安全狗，为何对我穷追不舍。
谢谢楼主的手法，思路。
高级工程师
引用:原帖由
21:10 发表
虽然看不懂，但是感觉到了SQL 的博大啊，楼主强大 只是经验多了些而已，也欢迎你给在这个版块提问，有问题一起解决
站在低处，渴望更高
高级工程师
引用:原帖由 KernelC 于
08:05 发表
同是狗，相煎何太急呢，不同的是我是单身狗，你是安全狗，为何对我穷追不舍。
谢谢楼主的手法，思路。 ^_^，要是你有难题，不妨开贴，然后写一下防御机制，让大家伙一起合力把问题给弄了。
站在低处，渴望更高
高级工程师
引用:原帖由 niuyuanwu 于
11:06 发表
辛勤付出总会有收获，等着看视频 O(∩_∩)O哈哈~，不太想录声音。所以第一期就录没有声音的吧！你来占楼，很高兴。(*^__^*) 嘻嘻……
站在低处，渴望更高
高级工程师
引用:原帖由 急速学习者 于
21:03 发表
很不错，最近想学习渗透的东西，楼主有啥好推荐的吗 渗透这个，学习它最好是实战。在渗透的前期，自己搭建环境来学习再普遍不过了。
0x00、SecWiki有一个渗透安全人员的成长图，我有一部成长计划是参考他的。
0x01、搭建dvwa平台，把上面的漏洞过一遍。视频资料在下面
链接： 密码：2op6
0x02、过了一遍之后，可以定点的根据需求看。可以在91ri.org、乌云知识库、freebuf、安全脉搏上搜索特定的主题来看。
0x03、学习神器的使用
1、brupsuite
链接： 密码：c37e
链接： 密码：5c2v
0x04、上面都过得差不多，多在乌云上看漏洞，或者在国外youtube上看实际渗透视频。
站在低处，渴望更高
论坛妇、少女之友
不明觉厉。
虽然完全看不懂，但是感觉LZ好牛&&逼&&，大神
我爱你，如果肾够好的话，我希望是一万年
学习了~!楼主是在推广安全狗吗&&哈哈~~&&还有其他的服务器安全软件不 推荐一二学学哈~~!
宝剑厉不厉害，要看它的主人是谁，不信来看看~！服务器安全狗守护中心无法启动后台服务的完美解决方法
互联网 & 09-01 13:37:05 & 作者：佚名 &
今天在帮客户配置服务器的时候，重启系统以后运行安全狗以后提示服务器安全狗守护中心无法启动后台服务，到服务里面启动发现SafeDogGuardCenter.exe文件丢失了，经过如下方法解决了，特分享下
1、SafeDogGuardCenter.exe文件丢失，经过排查时因为服务器安装了mcafee导致，SafeDogGuardCenter.exe在mcafee8.1未升级病毒库之前是病毒文件，经过升级以后与设置例外可以防止文件再被误删。2、在mcafee中设置扫描例外，否则还会被删除点击 所有进程检测项 & 排除项然后把服务器安全狗的安装路径加上去，不让mcafee扫描，才不会出现误删的情况。最重要的一步，既然是文件丢失了，我们可以找回文件或者从脚本之家下载。现在服务器安全狗都是4版本或者是3.2版本的。这里提供下
4.0的文件的下载地址。
大家感兴趣的内容
12345678910
最近更新的内容网站安全狗和360网站安全检测扫描对比评测_站长心得_动态网站制作指南
网站安全狗和360网站安全检测扫描对比评测
来源：人气：621
　　很多网站用户经常发现网站被植入后门程序，导致网站被黑客非法控制、非法利用，甚至整台服务器权限被控制。出现这种情况，通过人工来排查，需要一定的技术能力和工作量。因此需要一款强有力的扫描工具来帮助解决这个安全问题。
　　目前，可以找到的扫描工具挺多，那我们又该如何选择最合适的扫描工具呢?最近，笔者就选择了两款扫描工具进行对比，分别是360网马扫描和网站安全狗网马扫描，从以下几个方面的进行了评测：
　　操作的简易程度 支持的网站数量 后门的查杀率 其他脚本类型后门的查杀率 加密变形的WebShell、变形的一句话木马以及畸形目录的查杀率
　　笔者通过对360网马扫描和网站安全狗网马扫描能力的测试，将所得到的测试结果供大家作为判断两者网马扫描能力强弱的参考。
　　参评软件：360网站安全检测、网站安全狗
　　测试样本：样本均来自互联网上流行的常见的WebShell(具体见评测数据)
　　评测项目及评测数据：
　　1、操作简易程度：
　　360网站安全检测的情况：
　　首先说下360网站安全检测，需要先到360的webscan.360.cn注册一个帐号，然后添加站点。添加了站点，还要对站点进行管理员认证，认证结束后要下载一个php漏洞扫描文件到站点目录下(目前360漏洞检测只支持php的扫描)。我用一个花生壳的动态免费二级域名进行测试，发现这个二级域名在360漏洞检测无法添加。通过咨询客服，了解到360网站安全检测目前对二级域名和带端口域名需要收费，不提供免费的服务。
　　网站安全狗的情况：
　　网站安全狗倒简单了，直接在服务器上安装网站安全狗，即可支持自定义路径扫描、自定义网站、全站扫描等多功能检测。
　　2、支持的网站数量：
　　360安全检测的情况：
　　360多站点扫描功能，要扫描几个站点就要添加几个站点认证，每个站点都要下载一个php的后门漏洞扫描文件，不支持任意扫描等用户自主简洁的操作扫描方式。
　　网站安全狗的情况：
　　网站安全狗采用一键安装，扫描覆盖面是自由选取，什么站点都任意扫描，自定义站点、自定义路径，全站扫描。
　　3、PHP后门的查杀率：
　　样本情况：100个样本文件，96个网页后面，4个普通文件;
　　360网站安全检测的情况：
　　网站安全狗的情况：
　　对比结果：
　　同一个目录下的php网页后门，网站安全狗的查杀率为100%，360网站安全检测的查杀率不到10%。图上框起来的网页后门文件，大家注意到，网站安全狗对网页后门的描述更加准确。
　　4、其他脚本类型的查杀率：
　　样本情况：3个。NET样本，5个PHP样本(部分修改了后缀名)，2个样本;
　　360网站安全检测的情况：
　　360网站安全检测目前支持php类型的网马扫描?，、aspx、html、畸形文件(夹)，均不支持，360漏洞检测只支持php语言的网马文件，其他语言编写的网马后门是无法扫描的。
　　网站安全狗的情况：
　　网站安全狗支持所有类型的网马扫描。网站安全狗在这方面就比较全面，均可扫描。
　　对比结果：
　　网站安全狗支持所有类型的脚本文件扫描，查杀率是100%;360网站安全扫描只能支持PHP后缀的文件，只扫描出1个网页后门，查杀率不足
10%。另外网站安全狗应该不是简单根据后缀类型来扫描，而是根据文件里面的网马特征来匹配。不管什么样的后缀类型，都可以扫描出来。网站安全狗还有一个功能就是：可以到网马查杀-扫描设置-目标文件，来指定需要扫描的后缀类型文件，自主选择扫描范围。
　　5、加密变形的WebShell、变形的一句话木马以及畸形目录的查杀率：
　　样本情况：2个加密文件变形后门，1个普通的一句话木马，1个一句话变形木马;
　　360网站安全检测的情况：
　　网站安全狗的情况：
　　对比结果：
　　加密后的文件、一句话变形文件，360漏洞检测都无法扫描出来。加密文件、一句话木马变形，网站安全狗都可以扫描出来。图7，网站安全狗还支持畸形文件的扫描;有兴趣童鞋的可以自己弄几个样本试一下，对比下结果。
　　总评：
　　综合这两款软件的测试成绩，我们可用一个表格再对比下：
360 网站安全检测
网站安全狗
操作的简易程度
360需要注册账号，需要认证并下载php扫描文件才能检测，并且不支持二级域名扫描。
无需注册，可直接在服务器上安装网站安全狗。并支持自定义路径扫描、自定义网站、全站扫描等多功能检测。
支持的网站数量
360多站点扫描功能，需要逐个添加站点并认证，添加较为麻烦。
采用一键安装，扫描覆盖面是自由选取，什么站点都任意扫描，自定义站点、自定义路径，全站扫描。
PHP后门的查杀率
查杀率小于10%
查杀率为100%
其他脚本类型后门的查杀率
只支持PHP后缀的文件
查杀率小于10%
支持任意类型文件
查杀率为100%
加密变形的WebShell、变形的一句话木马以及畸形目录的查杀率
对变形后门处理较差，无法识别变形后门
在测试环境和固有样本的情况下，加密文件、一句话木马变形，网站安全狗都可以扫描出来
　　另外在扫描结果方面，360网站安全检测只支持扫描，不支持对扫描结果进行处理;网站安全狗可以直接进行处理、隔离、添加白名单等操作，灵活许多，相对优于360漏洞检测。
　　在扫描方式方面，360漏洞检测通过web方式扫描，速度慢，而且还会占用一定的带宽，站点一多如果同时扫描多个站点肯定会影响服务器的一些性能。网站安全狗则在这方面限制没那么多，性能略优。
优质网站模板(window.slotbydup=window.slotbydup || []).push({
id: '3071821',
container: s,
size: '960,60',
display: 'inlay-fix'服务器安全狗守护中心无法启动后台服务的完美解决方法
本文相关软件
服务器安全狗是一款集服务器安全防护和安全管理为一体的综合性服务器安全防护工具。服...