墨者防御联盟-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

一种特殊事情下绕过安全狗执行命令的想法

01-17 WEB安全

一种特殊事情下绕过安全狗执行命令的想法

RedFree (?11:11 11-11-1112 |※(器杀制自) | 2015-05-10 18:05

正常事情下,安装有新版安全狗是会拦截命令的执行的。

一种特殊情况下绕过安全狗执行命令的方法

安全狗的配置文件在C:\Program Files\SafeDogSiteIIS\GeneralConfig\名目下(默认路径安装的安全狗);

一种特殊情况下绕过安全狗执行命令的方法

经过文件监控得知“禁止执行程序防护功能”的应用程序白名单配置文件为ProhibitExecute.dat。假如运行Web服务的账户有较高的权限,可以使用Webshell替换掉那个文件(这种事情并不是特别多,但依旧有的)……

我在本机将c:\windows\system32\cmd.exe添加到了白名单路径,接着保存猎取到了新的ProhibitExecute.dat。用那个文件替换掉目标系统中的ProhibitExecute.dat,大约2分钟之后就能够成功执行命令了。

一种特殊情况下绕过安全狗执行命令的方法

固然,高防cdn,能够实现替换文件的方式还有特别多。比如数据库账户有较高的权限,无法成功执行命令但能够导出文件;某些FTP无法执行命令但能够添加账号或使用已有账号连接来替换文件……

感受那个想法和导出文件到启动项、替换sethc.exe等比较相像,然而更节省时刻。其它的配置文件是用来干啥的,DDoS防护CC防御,自由发挥哈!

已添加c:\windows\system32\cmd.exe到白名单的配置文件下载:

下载地址:ProhibitExecute.rar

备用地址:链接:  密码: etqf

版权保护: 本文由 主页 原创,转载请保留链接: /web/139527.html


QQ客服

400-0797-119