在"如何绕过WAF的查杀规则-换向思维免杀webshell-漏洞银行大咖面对面41-0x921"的技术直播中,作者0x921分享了关于Web应用防火墙(WAF)安全策略规避的方法,特别是针对webshell的检测和绕过技巧。这个讲座分为五个部分:
1. 基础准备:首先,参与者需要具备基本的PHP语言知识,如理解error_reporting()函数用于隐藏错误信息,base64_decode()函数用于解码Base64编码的数据。此外,熟悉常见的Web开发环境(如PHP与Apache、Nginx或IIS的配合)以及必要的工具,比如中国菜刀,是必不可少的。
2. PHP函数的普及:讲解了几个关键的PHP函数,如tempnam()用于创建临时文件,sys_get_temp_dir()获取临时文件夹路径,fwrite()和fopen()用于文件操作,unlink()用于删除文件,以及var_dump()和file_exists()用于验证文件存在与否。这些函数将在实战中起到重要作用。
3. 一句话webshell工作原理:核心内容是讲解eval()函数,它是Webshell的一种常见执行方式,通过接收用户输入的代码并执行,如`<?php eval($_POST['pass']); ?>`。这个例子演示了如何利用用户提交的数据来运行恶意代码。
4. 实战免杀and查杀:这部分深入探讨如何利用上述函数和技术手段,设计出不会被WAF识别并阻止的webshell,即如何通过换向思维,将恶意代码巧妙地嵌入合法的PHP代码结构中,从而成功绕过WAF的检测。
5. 个人总结:最后,0x921会对整个课程进行总结,强调理解和运用这些技巧的重要性,以及在实际渗透测试或安全防御中的应用。
整体而言,这场讲座围绕着如何通过深入理解PHP语言特性和WAF的工作机制,采取创新方法来构建和隐藏webshell,从而避开WAF的防护,对于从事网络安全的人员来说,是一次实用且具有挑战性的学习体验。