常见WAF进程/服务与WAF识别总结

简介: 常见WAF进程/服务与WAF识别总结

0x01 前言

本节内容是笔者在以前的渗透测试过程中搜集整理而来,大部分安全防护都有遇到过,只有小部分是找的一些知名安全厂商产品。大家可以根据我整理的这些进程、服务、拦截页以及相关项目快速识别目标机器存在哪些安全防护,然后对其进行针对性免杀处理和绕过测试。


0x02 常见WAF进程和服务

(1) D盾

    服务名:d_safe
    进程名:D_Safe_Manage.exe、d_manage.exe

    (2) 云锁

      服务端监听端口:5555
      服务名:YunSuoAgent/JtAgent(云锁Windows平台代理服务)、YunSuoDaemon/JtDaemon(云锁Windows平台守护服务)
      进程名:yunsuo_agent_service.exe、yunsuo_agent_daemon.exe、PC.exe

      (3) 阿里云盾

        服务名:Alibaba Security Aegis Detect Service、Alibaba Security Aegis Update Service、AliyunService
        进程名:AliYunDun.exe、AliYunDunUpdate.exe、aliyun_assist_service.exe

        (4) 腾讯云安全

          进程名:BaradAgent.exe、sgagent.exe、YDService.exe、YDLive.exe、YDEdr.exe

          (5) 360主机卫士

            服务名:QHWafUpdata
            进程名:360WebSafe.exe、QHSrv.exe、QHWebshellGuard.exe

            (6) 网站/服务器安全狗

              服务名:SafeDogCloudHelper、Safedog Update Center、SafeDogGuardCenter(服务器安全狗守护中心)
              进程名:SafeDogSiteApache.exe、SafeDogSiteIIS.exe、SafeDogTray.exe、SafeDogServerUI.exe、SafeDogGuardCenter.exe、CloudHelper.exe、SafeDogUpdateCenter.exe

              (7) 护卫神·入侵防护系统

                服务名:hws、hwsd、HwsHostEx/HwsHostWebEx(护卫神主机大师服务)
                进程名:hws.exe、hwsd.exe、hws_ui.exe、HwsPanel.exe、HwsHostPanel.exe/HwsHostMaster.exe(护卫神主机大师)

                (8) 网防G01政府网站综合防护系统(“云锁”升级版)

                  服务端监听端口:5555
                  服务名:YunSuoAgent、YunSuoDaemon(不知是否忘了替换了!)
                  进程名:gov_defence_service.exe、gov_defence_daemon.exe


                  0x03 WAF识别的相关项目

                  (1) wafw00f/WhatWaf

                  利用wafw00f识别WAF,可以在WAF指纹目录下自行编写脚本。这类WAF识别工具的原理基本都是根据HTTP头部信息、状态码以及WAF拦截页中的图片、文字做为特征来进行检测,如wafw00f工具中的yunsuo.py脚本就是根据cookie中的security_session_verify来检测的。

                  • /usr/lib/python3/dist-packages/wafw00f/plugins
                  #!/usr/bin/env python
                  NAME = 'Yunsuo'
                  def is_waf(self):
                      if self.matchcookie('^security_session_verify'):
                          return True
                      return False


                  (2) sqlmap -identify-waf

                  利用sqlmap -identify-waf参数识别WAF,一样可以在WAF指纹目录下根据原有脚本和Awesome-WAF项目自行编写WAF指纹识别脚本,但有时可能会因为sqlmap新老版本的原因而导致存放路径不一样。

                  • 更新前:/usr/share/sqlmap/waf
                  • 更新后:/usr/share/golismero/tools/sqlmap/waf
                  #!/usr/bin/env python
                  """
                  Copyright (c) 2006-2013 sqlmap developers (http://sqlmap.org/)
                  See the file 'doc/COPYING' for copying permission
                  """
                  import re
                  from lib.core.enums import HTTP_HEADER
                  from lib.core.settings import WAF_ATTACK_VECTORS
                  __product__ = "ModSecurity: Open Source Web Application Firewall (Trustwave)"
                  def detect(get_page):
                      retval = False
                      for vector in WAF_ATTACK_VECTORS:
                          page, headers, code = get_page(get=vector)
                          retval = code == 501 and re.search(r"Reference #[0-9A-Fa-f.]+", page, re.I) is None
                          retval |= re.search(r"Mod_Security|NOYB", headers.get(HTTP_HEADER.SERVER, ""), re.I) is not None
                          if retval:
                              break
                      return retval


                  (3) 项目地址


                  相关文章
                  |
                  Java Linux
                  使用supervisor纳管java进程,自动重启服务
                  使用supervisor守护java进程,实现服务智能管理,自动重启。
                  1265 0
                  |
                  3月前
                  |
                  Linux
                  遇到Linux 端口占用时如何查看并杀掉服务进程
                  遇到Linux 端口占用时如何查看并杀掉服务进程
                  |
                  4月前
                  |
                  Kubernetes Cloud Native Linux
                  云原生|kubernetes |kubelet服务加入系统守护进程supervisor(centos7系统下演示通过)
                  云原生|kubernetes |kubelet服务加入系统守护进程supervisor(centos7系统下演示通过)
                  57 0
                  |
                  4月前
                  |
                  缓存 负载均衡 算法
                  百度搜索:蓝易云【如何优化Nginx服务进程详细。
                  优化Nginx服务进程是一个持续的过程,需要不断地监测和调整。建议在优化之前备份配置文件,并逐步应用和测试每个优化步骤的效果,以确保服务的稳定性和可靠性。
                  26 0
                  |
                  8月前
                  |
                  应用服务中间件 Apache Windows
                  Apache Tomcat 9.0 Tomcat9服务无法启动,提示“Windows无法启动Apache Tomcat……错误1067:进程意外终止
                  Apache Tomcat 9.0 Tomcat9服务无法启动,提示“Windows无法启动Apache Tomcat……错误1067:进程意外终止
                  427 0
                  Apache Tomcat 9.0 Tomcat9服务无法启动,提示“Windows无法启动Apache Tomcat……错误1067:进程意外终止
                  |
                  9月前
                  |
                  存储 监控 应用服务中间件
                  服务守护进程:DaemonSet的使用
                  服务守护进程:DaemonSet的使用
                  73 0
                  |
                  10月前
                  |
                  负载均衡 监控 JavaScript
                  后台服务守护进程神器pm2介绍及使用
                  后台服务守护进程神器pm2介绍及使用
                  |
                  11月前
                  |
                  Java 开发工具 Android开发
                  跨进程访问(AIDL服务)
                  跨进程访问(AIDL服务)
                  75 0
                  |
                  网络协议 前端开发 JavaScript
                  深入了解 Node 的多进程服务
                  深入了解 Node 的多进程服务
                  |
                  运维 数据库 Windows
                  【ogg三】日常运维篇:清理归档日志,ogg进程注册服务,定期备份数据库
                  【ogg三】日常运维篇:清理归档日志,ogg进程注册服务,定期备份数据库
                  185 0
                  【ogg三】日常运维篇:清理归档日志,ogg进程注册服务,定期备份数据库