绕过IIS命令执行防护提权

简介: 绕过IIS命令执行防护提权

前段时间也对这个防护软件的命令执行限制功能做了一些测试,没能成功绕过,详情可见这篇:D盾防火墙防护绕过-[命令执行限制]


0x01 模拟实战测试

测试某防护软件时发现在Webshell执行不了命令,提示:拒绝访问,不是cmd被降权的原因,Admin/System也都执行不了。

经过@Kk师傅分析后得知该防护是通过在w3wp.exe进程中加载web_safe.dll来Hook一些常见API函数,如下图所示。

这里我们将AspxSpy2014大马中的PluginLoader模块给单独提取出来了,可以使用assembly反射加载dll来进行API Unhook执行命令。

如果IIS长时间不用w3wp.exe就会被结束,刚执行的Unhook就会失效,为了方便,我将命令执行也加了进去,UnHook -> Execute。

只要绕过了这个防护软件的命令执行,随便用一个EXP就可以提权了,这里以CVE-2017-0213为例,当然,前提是要存在这个漏洞哦。


注:AspxSpy2014马会被特征查杀,而且开启“上传扩展过滤【白名单】”选项时在PluginLoader模块执行加载的dll时也会被拦截,如下图所示。

这篇文章只是给大家提供一个绕过思路,具体的绕过方式暂不对外公布,有兴趣的可以加我私下交流。

相关文章
|
Windows
IIS7.0 Appcmd 命令详解
IIS7.0 Appcmd 命令详解 废话不说!虽然有配置界面管理器!但是做安装包的时候命令创建是必不可少的!最近使用NSIS制作安装包仔细研究了一下Appcmd的命令,可谓是功能齐全. 上网查了些资料,那些博客大部分都是转载的别人的。
866 0
批处理命令行CMD启动停止重启IIS的命令
原文:批处理命令行CMD启动停止重启IIS的命令 启动IIS:   net start iisadmin    (IIS的整个服务) net start w3svc       (WWW网页WEB服务) 停止IIS:   net stop iisadmin /y     (会自动停...
2079 0
|
Windows 数据安全/隐私保护
IIS7.0 Appcmd 命令详解
原文 IIS7.0 Appcmd 命令详解  一:准备工作 APPcmd.exe 位于 C:\Windows\System32\inetsrv 目录 使用 Cd c:\Windows\System32\inetsrv 切换到该目录   二:命令操作简介 IIS 命令行管理工具基本格式: ...
1322 0
|
Windows
如果没有按照正常的先装iis后装.net的顺序,可以使用此命令重新注册一下:
如果没有按照正常的先装iis后装.net的顺序,可以使用此命令重新注册一下:(即就是先装的是visual stuido 2010的话,在安装IIS 7)   32位的Windows:---------------------------------------------------------------------------1.
737 0
|
6月前
|
网络协议
windows_server2012搭建iis并配置http重定向 iis转发
windows_server2012搭建iis并配置http重定向 iis转发
338 1
|
4月前
|
C++
【Azure云服务 Cloud Service】如何在部署云服务Cloud Service时候通过启动任务Start Task来配置IIS (如开启ARR)
【Azure云服务 Cloud Service】如何在部署云服务Cloud Service时候通过启动任务Start Task来配置IIS (如开启ARR)
|
4月前
|
开发框架 .NET 中间件
【Azure 云服务】在Cloud Service的代码中如何修改IIS Application Pool的配置呢? 比如IdleTimeout, startMode, Recycling.PeriodicRestart.Time等
【Azure 云服务】在Cloud Service的代码中如何修改IIS Application Pool的配置呢? 比如IdleTimeout, startMode, Recycling.PeriodicRestart.Time等
【Azure 云服务】在Cloud Service的代码中如何修改IIS Application Pool的配置呢? 比如IdleTimeout, startMode, Recycling.PeriodicRestart.Time等
|
6月前
|
Windows
iis配置http重定向302转发get请求并去掉最后的斜杠/ iis重定向 iis去除url最后的斜杠 iis重定向链接斜杠(已解决)
iis配置http重定向302转发get请求并去掉最后的斜杠/ iis重定向 iis去除url最后的斜杠 iis重定向链接斜杠(已解决)
198 0
|
7月前
|
JavaScript Windows
VUE部署到IIS中报404错误解决方案-配置URL重写
VUE部署到IIS中报404错误解决方案-配置URL重写
316 0