前段时间也对这个防护软件的命令执行限制功能做了一些测试,没能成功绕过,详情可见这篇:D盾防火墙防护绕过-[命令执行限制]
0x01 模拟实战测试
测试某防护软件时发现在Webshell执行不了命令,提示:拒绝访问,不是cmd被降权的原因,Admin/System也都执行不了。
经过@Kk师傅分析后得知该防护是通过在w3wp.exe进程中加载web_safe.dll来Hook一些常见API函数,如下图所示。
这里我们将AspxSpy2014大马中的PluginLoader模块给单独提取出来了,可以使用assembly反射加载dll来进行API Unhook执行命令。
如果IIS长时间不用w3wp.exe就会被结束,刚执行的Unhook就会失效,为了方便,我将命令执行也加了进去,UnHook -> Execute。
只要绕过了这个防护软件的命令执行,随便用一个EXP就可以提权了,这里以CVE-2017-0213为例,当然,前提是要存在这个漏洞哦。
注:AspxSpy2014马会被特征查杀,而且开启“上传扩展过滤【白名单】”选项时在PluginLoader模块执行加载的dll时也会被拦截,如下图所示。
这篇文章只是给大家提供一个绕过思路,具体的绕过方式暂不对外公布,有兴趣的可以加我私下交流。