webshell如果躲过“加速乐黑客攻击拦截”

今天检查一个网站，如下过程，记录分享一下。 

1、访问网站，发现有搜索功能 

2、sqlmap 注入试试，成功，mysql，root权限 

3、破解root密码，失败 

4、写webshell，失败（windows，不知道网站物理路径） 

5、扫描数据库表，找到admin表，找到管理员登录信息并破解密码 

6、网页找管理登录入口 

7、管理员账户登录，成功 

8、找富文本编辑框，找到图片上传 

9、直接上传webshell.php，失败（只允许上传png、jpg）。 

10、fillder修改js，绕过上传文件类型验证、成功，上传webshell.php成功 

11、访问上传的webshell，失败，被加速乐拦截。太悲剧了，挫败感悠然而生。 

12、自己修改webshell，再次上传，访问，一切正常了。主要思路是删除“Powerd by ...”，一些网站的链接，如“http://www.4ngel.net”。通过这次成功绕过加速乐可以猜到加速乐是从网上搜集webshell脚本并提取了重要的关键字符，然后扫描html页面是否包含这些关键信息，包含关键信息就给拦截。所以其实简单地把这些关键字符去掉就可绕过加速乐了。

补充：

我上传的是从网上下载webshell，带密码。正常情况是第一次打开的时候要先输入密码的。输入完密码跳转到文件管理等页面。

根绝我的测试有两种情况，加速乐拦截分为两种情况。

刚开始的时候，加速乐不知道请求是攻击行为，shell页面打开了，可以输入密码了。输入完密码后打开新页面就显示被加速乐拦截了。这种情况下，我理解是php脚本在服务器执行成功了，输入的html被加速乐检查到包含shell脚本的特殊字符串，所以拦截乐。

在被拦截后，清除缓存等情况，重新打开shell页面，连密码框都不出了，直接拦截。此时更换IP，可以再次输入密码，可以输入，后续页面被拦截。由此理解加速乐对同一IP同一URL甚至其他url都会因为有一次被拦截而造成所有的都被拦截。这种情况请求应该没到真正的服务器。

最后修改shell的代码，将一些特殊字符串都删掉或改名后，再也不被过滤乐。所以总的理解是加速乐一开始会根据服务器响应的html代码扫描特征字符串进行拦截。至于其他规则，不得而知。