8種方法突破iGuard網頁防篡改軟體保護
阿新 • • 發佈:2018-12-22
前段時間在搞一個受到網頁防篡改保護的網站,之前不知道有這東西,後來在植入web後門的時候,老是被刪掉,鬱悶...
困擾了整整一天後,在翻看C盤時,發現根目錄下一個奇怪的資料夾"Tercel",找了幾個檔案研究,才知道這裡有一個叫iGuard的網頁防篡改...汗死..不懂這東西,立即google惡補下,找到官網,居然不提供下載,囧~~
不過,根據我的經驗,不提供下載的軟體基本上都會有一堆毛病,哈哈...
之後通過社工騙取了一套試用版,接下來的2天裡,通過在虛擬機器中反覆測試,終於把這東西的原理摸熟了,並找到8種辦法突破iGuard的保護,其中有幾種不用管理員許可權就能突破.2天的成果,分享出來讓後來者少走彎路,以後再遇到這種系統保護的網站要繞過它就輕車熟路了.
這裡先簡單說下iGuard的原理,這東西會在IIS /Apache中安插一個ISAPI過濾器(ISAPI Filter)/Apache模組,這個模組對你請求的每一個網頁都計算一下它的MD5值,然後跟自己MD5庫中記錄的進行比較,如果一致就說明沒有篡改,放行通過,如果不一致,就攔截,並立即恢復網頁(這也是為什麼之前我在網頁中插入後門,然後訪問後門,就會立即被刪除的原因).
OK,知己知彼,百戰不殆,在理解了它的原理後,要對付它就容易多了,何況這個iGuard設計上就有眾多安全隱患.
因為突破方法比較多,所以我打包成一個rar(視訊+文字解說).
邪8這裡上傳15MB的附件老是出錯,鬱悶,沒法子,只好放過地方了,下載地址:
http://www.vdisk.cn/user/admin/tempuser1377003355
如果比較懶,不想看詳細視訊演示資料,可以直接用下面的這個方法讓iGuard失效:
原理:因為iGuard 數字水印檢測功能的實現,完全依賴於一個 ISAPI 篩選器模組,只要把這個篩選器刪除,就可以讓篡改網頁隨意留出了...不管這個iGuard是不是雙機部署,不管採取什麼水印,立刻統統失效.
操作:用下面三條cmd命令,就可以把iGuard的 ISAPI 篩選器模組刪掉.複製內容到剪貼簿 刪除iGuard的 ISAPI 篩選器模組後,咱們就可以隨意修改網頁了,hoho~~
困擾了整整一天後,在翻看C盤時,發現根目錄下一個奇怪的資料夾"Tercel",找了幾個檔案研究,才知道這裡有一個叫iGuard的網頁防篡改...汗死..不懂這東西,立即google惡補下,找到官網,居然不提供下載,囧~~
不過,根據我的經驗,不提供下載的軟體基本上都會有一堆毛病,哈哈...
之後通過社工騙取了一套試用版,接下來的2天裡,通過在虛擬機器中反覆測試,終於把這東西的原理摸熟了,並找到8種辦法突破iGuard的保護,其中有幾種不用管理員許可權就能突破.2天的成果,分享出來讓後來者少走彎路,以後再遇到這種系統保護的網站要繞過它就輕車熟路了.
這裡先簡單說下iGuard的原理,這東西會在IIS
OK,知己知彼,百戰不殆,在理解了它的原理後,要對付它就容易多了,何況這個iGuard設計上就有眾多安全隱患.
因為突破方法比較多,所以我打包成一個rar(視訊+文字解說).
邪8這裡上傳15MB的附件老是出錯,鬱悶,沒法子,只好放過地方了,下載地址:
http://www.vdisk.cn/user/admin/tempuser1377003355
如果比較懶,不想看詳細視訊演示資料,可以直接用下面的這個方法讓iGuard失效:
原理:因為iGuard 數字水印檢測功能的實現,完全依賴於一個 ISAPI 篩選器模組,只要把這個篩選器刪除,就可以讓篡改網頁隨意留出了...不管這個iGuard是不是雙機部署,不管採取什麼水印,立刻統統失效.
操作:用下面三條cmd命令,就可以把iGuard的 ISAPI 篩選器模組刪掉.複製內容到剪貼簿
程式碼:
//cmd 查詢 iGuard 的 ISAPI 篩選器模組,同時獲取網站ID...
cscript.exe %SystemDrive%\Inetpub\AdminScripts\adsutil.vbs enum_all w3svc /p | find "iguard" /i
//cmd 獲取指定網站的 FilterLoadOrder 序列...
cscript.exe %SystemDrive%\Inetpub\AdminScripts\adsutil.vbs get w3svc/xxx/filters/FilterLoadOrder
//cmd 設定新的 FilterLoadOrder 序列到指定網站...
cscript.exe %SystemDrive%\Inetpub\AdminScripts\adsutil.vbs set w3svc/xxx/filters/FilterLoadOrder ""