|
|
|
联系客服020-83701501

突破web iGuard防篡改系统(1)

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
突破web iGuard防窜改细碎(1)

InfoGuard,简称iGuard,俗称网页文件防御窜改器,克日凌晨被这个器材弄的头大了,好好研究了下,找到领会决举措,记录一下.

先给出这个器材的成果,随便丢了个webshell出来,不有被杀,效能器上是存在的,但是拜访的时辰就变成了这个胎蠢样子:

200903270809386087

是不是有点释怀呢…无非不要紧.咱们梗概找到InfoGuard的目录,我这里是C:TerceliGuardSyncServer
这里有一个a.conf文件 掀开他看看

200903270811154034

隐隐能抓到点器材,无非还不是很明明.
通过一番高兴,到底把这个配制文件的参数搞理解理睬了

[System]
SignDB=C:TerceliGuardSyncServersigndbiguard.db
vid=BV8CcwNN6iH3dEAw
[dirs]
D:Inetpubgameto

个中各项寄义分别为:

SignDB:为水印库目录;
vid:为水印库初始化向量,与颁发效能器标识文件iguard.dat第一行放弃差距;
[dirs]:把必要扫描水印的目录和文件,以每个目录/文件一行的举措填入。

这下应该分明了吧.咱们把皮相dirs的部门换成咱们webshell地址的门路,无非何等还没完.
iGuard安顿后,连同这个配制文件一同的还有个wmktool.exe,这个步伐是用来给文件上水印的,便是武断下他是不是被修改了,诚然咱们上传新的文件同样不有水印,以是也就诚然没法独霸了.
在a.conf统一目录下找到这个wmktool.exe,并且实行他

200903270812006112

梗概看到文件都被措置过了
再掀开咱们的shell看看

200903270812270588

是不是已经ok了

诚然了 你首先要有一个shell,而且有权限,不然就木举措了.

91ri.org弥补:不日在浸透一个大学站时碰着了这么一个防窜改步伐,我已经通过别的动作拿到效能器3389权限,但是想上传一个shell到web上却缔造已经传下来默示不出来,后来还认为是缓存一类的,但是承担一看,副本是403并不是404,仔细看了web页面却缔造是个防窜改,搜了下相干材料找到了这篇文章,说切实有点鸡肋因为必要效能器权限,凌晨会发一篇关于独霸shell来突破防窜改的文章,请期待哟。对了,我开端也没理解原文的意思我间接讲下,操作动作切实便是把shell放目标地位 然后间接掀开wmktool.exe,并且实行他 等实行完就能够看到可憎的SHELL了。

link:突破web iGuard防窜改细碎(2)

本文作者皇子转自鬼仔博客,感激一下他们 没他们文章我还真拿不到shell 本文由网络安全攻防研究室(www.91ri.org)动态安全小组收集整理。

数安新闻+更多

证书相关+更多