安全矩阵

 找回密码
 立即注册
搜索
查看: 2695|回复: 0

IIS命令执行防护绕过

[复制链接]

145

主题

192

帖子

817

积分

高级会员

Rank: 4

积分
817
发表于 2022-4-25 18:13:18 | 显示全部楼层 |阅读模式
IIS命令执行防护绕过          转载自:IIS命令执行防护绕过

IIS命令执行防护绕过

寻找防护点
在一次渗透测试中发现存在某安全防护软件,无法执行命令。本地搭建环境进行绕过。
开启防护
防护软件通过将DLL加载进入w3wp.exe。

总所周知CreateProcessW是IIS创建进程的API函数,查看CreateProcessW。


跟进call调用可以发现调用的是kernelbase.dll->CreateProcessInternalW函数

跟进CreateProcessInternalw,通过JMP跳转至web_safe.dll。

关闭防护
区别在于没有通过jmp跳转到web_safe处

通过pchunter64.exe我们可以批量查找被防护软件Hook的函数,并且可以看见被hook前的值。

内存补丁
我们首先查看cmd.exe未经过hook的CreateProcessW的调用


比对两个的调用

经过比对我们可以得知4C 8B DC 53 56 57是正常的流程调用,我们直接恢复其原始值。

这里我给aspx大马加了白名单,绕过的是行为不是木马免杀。对内存进行补丁之前,防护软件是有报警的。

对内存补丁之后

提权成功没有拦截



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-30 10:54 , Processed in 0.012923 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表