安全矩阵

 找回密码
 立即注册
搜索
查看: 1048|回复: 0

bypass safedog 安全防护小结

[复制链接]

252

主题

252

帖子

1307

积分

金牌会员

Rank: 6Rank: 6

积分
1307
发表于 2022-8-15 23:31:15 | 显示全部楼层 |阅读模式
原文链接:bypass safedog 安全防护小结


0x01 前言

最近抽空又看了下最新网站安全狗IIS版,测试了以下一些在实战中能用的绕过方式,现在是通过本地和云端网马引擎来进行查杀和拦截。

0x02 webshell连接

冰蝎4.0.2生成的ASP.NET服务端木马已经被安全狗加入特征库了,所以在访问和连接时会被其拦截,我们得先想办法绕过安全狗的特征检测才能正常连接。
编辑

测试后发现安全狗是将ASP.NET服务端木马28行中的Assembly做为特征,虽然已被注释,但还是会被其查杀和拦截,我们只需将该特征或整行删除就能过了。
编辑

0x03 执行系统命令

但是发现执行不了任何命令,都会提示:拒绝访问,这是因为网站安全狗的"禁止IIS执行程序"防护限制了命令的执行,需要使用内置白名单绕过,可参考:记一次绕过安全狗命令执行上线
  1. <code class="hljs">c:\windows\Microsoft.NET\Framework\v1.1.4322\csc.exe\..\..\..\..\system32\cmd.exe /c whoami</code>
复制代码


编辑

0x04 执行shellcode

除了通过以上方式绕过命令执行,我们也可以使用冰蝎、哥斯拉、中国蚁剑的反弹shell或shellcode加载模块来获取主机会话,这种方式是加载到w3wp.exe内存中运行的。
编辑

我们虽然获取到了主机会话,但仍然不能直接执行命令,如果想要在当前会话中执行命令时还得通过安全狗的内置白名单文件才行,execute执行命令如下。
  1. <code class="hljs">execute -Hc -i -f "c:\windows\system32\cmd.exe" -a "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\csc.exe"</code>
复制代码


编辑

注:我们也可以用ASP、ASP.NET脚本加载shellcode执行上线,或者是用菜刀、蚁剑、冰蝎、哥斯拉等Webshell管理工具中的自定义代码执行功能执行上线。

它们的原理都是一样的,都是将shellcode加载到w3wp.exe内存中运行,但这种方式极易造成IIS应用池崩溃,还请谨慎使用!!!


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 17:49 , Processed in 0.014064 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表