IIS命令执行防护绕过
【推荐学习】暗月渗透测试培训 十多年渗透经验,体系化培训渗透测试 、高效学习渗透测试,欢迎添加微信好友aptimeok 咨询。
寻找防护点
在一次渗透测试中发现存在某安全防护软件,无法执行命令。本地搭建环境进行绕过。
开启防护
防护软件通过将DLL加载进入w3wp.exe。
总所周知CreateProcessW是IIS创建进程的API函数,查看CreateProcessW。
跟进call调用可以发现调用的是kernelbase.dll->CreateProcessInternalW函数
跟进CreateProcessInternalw,通过JMP跳转至web_safe.dll。
关闭防护
区别在于没有通过jmp跳转到web_safe处
通过pchunter64.exe我们可以批量查找被防护软件Hook的函数,并且可以看见被hook前的值。
内存补丁
我们首先查看cmd.exe未经过hook的CreateProcessW的调用
比对两个的调用
经过比对我们可以得知4C 8B DC 53 56 57是正常的流程调用,我们直接恢复其原始值。
这里我给aspx大马加了白名单,绕过的是行为不是木马免杀。对内存进行补丁之前,防护软件是有报警的。
对内存补丁之后
提权成功没有拦截
原创文章,作者:mOon,如若转载,请注明出处:https://www.moonsec.com/3890.html