突破web iGuard防篡改系统(1)

InfoGuard,简称iGuard,俗称网页文件防止篡改器,昨天晚上被这个东西弄的头大了,好好研究了下,找到了解决办法,记录一下.

先给出这个东西的效果,随便丢了个webshell进去,没有被杀,服务器上是存在的,但是访问的时候就变成了这个胎蠢样子:

200903270809386087

是不是有点郁闷呢…不过不要紧.我们可以找到InfoGuard的目录,我这里是C:TerceliGuardSyncServer
这里有一个a.conf文件 打开他看看

200903270811154034

隐约能抓到点东西,不过还不是很清晰.
经过一番努力,终于把这个配制文件的参数搞明白了

[System]
SignDB=C:TerceliGuardSyncServersigndbiguard.db
vid=BV8CcwNN6iH3dEAw
[dirs]
D:Inetpubgameto

其中各项含义分别为:

SignDB:为水印库目录;
vid:为水印库初始化向量,与发布服务器标识文件iguard.dat第一行保持一致;
[dirs]:把需要扫描水印的目录和文件,以每个目录/文件一行的方式填入。

这下应该清楚了吧.我们把里面dirs的部分换成我们webshell所在的路径,不过这样还没完.
iGuard安装后,连同这个配制文件一起的还有个wmktool.exe,这个程序是用来给文件上水印的,就是判断下他是不是被修改了,当然我们上传新的文件一样没有水印,所以也就当然无法使用了.
在a.conf同一目录下找到这个wmktool.exe,并且执行他

200903270812006112

可以看到文件都被处理过了
再打开我们的shell看看

200903270812270588

是不是已经ok了

当然了 你首先要有一个shell,而且有权限,不然就木办法了.

91ri.org补充:今天在渗透一个大学站时遇到了这么一个防篡改程序,我已经通过别的方法拿到服务器3389权限,但是想上传一个shell到网站上却发现已经传上去显示不出来,起初还以为是缓存一类的,但是认真一看,原来是403并不是404,仔细看了web页面却发现是个防篡改,搜了下相关资料找到了这篇文章,说实在有点鸡肋因为需要服务器权限,晚上会发一篇关于使用shell来突破防篡改的文章,请期待哟。对了,我开始也没理解原文的意思我直接讲下,利用方法其实就是把shell放目标位置 然后直接打开wmktool.exe,并且执行他 等执行完就能看到可爱的SHELL了。

link:突破web iGuard防篡改系统(2)

本文作者皇子转自鬼仔博客,感谢一下他们 没他们文章我还真拿不到shell 本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。