子比主题,更优雅的Wordpress主题
更优雅的WordPress网站主题:子比主题!全面开启

360webscan防注入脚本全面绕过

0150

    昨天几个朋友聊到了某个cms里用的360webscan脚本,问我怎么绕过。其实之前一直没有研究过正则的绕过,当然这次也不是正则的绕过,但最终目的是达到了,全面绕过了360webscan对于注入与xss的防护。

    当然360忽略了,于是我也就公开了呗。反正厂商都不重视安全,我们也没必要重视了。

    使用360webscan的一大cms就是cmseasy,我们就借用cmseasy中的360webscan来说明。
    其中有一个白名单函数: 

/**
 *  拦截目录白名单
 */
function webscan_white($webscan_white_name,$webscan_white_url_t=array()) {
  $url_path=$_SERVER['PHP_SELF'];
  $url_var=$_SERVER['QUERY_STRING'];
  if (preg_match("/".$webscan_white_name."/is",$url_path)==1) {
    return false;
  }
  foreach ($webscan_white_url_t as $webscan_white_url) {
	  foreach ($webscan_white_url as $key => $value) {
		if(!empty($url_var)&&!empty($value)){
		  if (stristr($url_path,$key)&&stristr($url_var,$value)) {
			return false;
		  }
		}
		elseif (empty($url_var)&&empty($value)) {
		  if (stristr($url_path,$key)) {
			return false;
		  }
		}

	  }
  }
  return true;
}

    这个函数在后面的过滤中起着至关重要的作用,因为过滤的时候判断如果webscan_white返回false就不执行过滤。

    也就是说,我们如果能让这个函数返回false,那么就能轻松绕过360webscan的过滤。

    那我们来看这个函数,这个函数第一个字段是白名单内容,我们在webscan_cache.php中可以找到:

//后台白名单,后台操作将不会拦截,添加"|"隔开白名单目录下面默认是网址带 admin  /dede/ 放行

$webscan_white_directory='admin|/dede/|/install/';

    返回来看我们的这个函数:

function webscan_white($webscan_white_name,$webscan_white_url_t=array()) {
  $url_path=$_SERVER['PHP_SELF'];
  $url_var=$_SERVER['QUERY_STRING'];
  if (preg_match("/".$webscan_white_name."/is",$url_path)==1) {
    return false;
  }

    当$_SERVER[‘PHP_SELF’]中能正则匹配出’admin|/dede/|/install/’的时候,就返回false,就绕过了检测。

    然后再给大家说明一下$_SERVER[‘PHP_SELF’]是什么:
    PHP_SELF指当前的页面绝对地址,比如我们的网站:
    https://www.leavesongs.com/hehe/index.php
    那么PHP_SELF就是/hehe/index.php。
    但有个小问题很多人没有注意到,当url是PATH_INFO的时候,比如
    https://www.leavesongs.com/hehe/index.php/phithon
    那么PHP_SELF就是/hehe/index.php/phithon
    也就是说,其实PHP_SELF有一部分是我们可以控制的。

    说到这里大家应该知道怎么绕过360webscan了吧?只要PHP_SELF中含有白名单字段即可。
    这也可以发散到很多cms上,php_self也是可控变量,注意过滤。

    来测试一下看看,在本地搭建一个cmseasy,最新版20140118,提交一个含有敏感字符union select的查询,被360拦截了:

    01.jpg

    那我们修改一下path_info,其中带有白名单字段“/admin/”:

    02.jpg

    果断页面变了,绕过了拦截。不过这个时候css和js也变了(因为基地址有问题),但并不影响sql语句和xss的执行,注入什么的还是能继续的。
    我们再随便试一个不知什么版本的cmseasy,都没有拦截:

    03.jpg

相关推荐: 【转】渗透网络投票系统解析投票骗局

今天没加班确实无聊,晚上女朋友在研究投票,看了一眼感觉十有八九是骗局。自从上次研究投票后身边一大堆找刷票的,也尝试了几种系统,感觉大部分都有漏洞或是bug(对于写代码的来说bug和漏洞还是区分的很敏感,勿笑)。 还是回到主题,投票是一个地方美食投票,看了链接大…

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
安全博客文章
# cms# 绕过# webscan
喜欢就支持一下吧
点赞0
分享
相关推荐
安全小百科-帆软10.0 Getshell漏洞分析
帆软10.0 Getshell漏洞分析
帆软10.0 Getshell漏洞分析
3年前 1032
安全小百科-逆向破解的入门题目
逆向破解的入门题目
逆向破解的入门题目
3年前 317
安全小百科-PHP-CGI远程代码执行漏洞(CVE-2012-1823)分析
PHP-CGI远程代码执行漏洞(CVE-2012-1823)分析
PHP-CGI远程代码执行漏洞(CVE-2012-1823)分析
3年前 170
安全小百科-我的学习与成长
我的学习与成长
我的学习与成长
3年前 153
安全小百科-脱裤小指南
脱裤小指南
脱裤小指南
3年前 77
评论 抢沙发

请登录后发表评论

搜索
开启精彩搜索
标签云
龟背龚某龙鱼龙马龙首龙车龙身龙芯龙生九子龙火龙海市龙泉驿区龙岩市龙女龙南县龙凤龙伯龍首龍門龍身
公司成功上市啦! - 作者:KOAL格尔国信-安全小百科

公司成功上市啦! – 作者:KOAL格尔国信

admin的头像-安全小百科3年前
048120
Comdev eCommerce 3.0 - 'config.php' Remote File Inclusion-安全小百科

Comdev eCommerce 3.0 – ‘config.php’ Remote File Inclusion

admin的头像-安全小百科3年前
47320
GeoServer漏洞利用总结及案例参考 - 作者:vlong6-安全小百科

GeoServer漏洞利用总结及案例参考 – 作者:vlong6

admin的头像-安全小百科3年前
016000
女祭女戚-安全小百科

女祭女戚

admin的头像-安全小百科3年前
011380
帆软10.0 Getshell漏洞分析-安全小百科

帆软10.0 Getshell漏洞分析

admin的头像-安全小百科3年前
010320
科锐逆向线上班完整版视频2020年 - 作者:hgjhf63fa-安全小百科

科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa

admin的头像-安全小百科3年前
08750
恐龙抗狼扛的头像-安全小百科

恐龙抗狼扛9月前0

kankan
admin的头像-安全小百科

啊啊啊啊3年前0

66666666666666