绕过IIS命令执行防护提权 |

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

前段时间也对这个防护软件的命令执行限制功能做了一些测试，没能成功绕过，详情可见这篇：D盾防火墙防护绕过-[命令执行限制]

0x01 模拟实战测试

测试某防护软件时发现在Webshell执行不了命令，提示：拒绝访问，不是cmd被降权的原因，Admin/System也都执行不了。

经过@Kk师傅分析后得知该防护是通过在w3wp.exe进程中加载web_safe.dll来Hook一些常见API函数，如下图所示。

这里我们将AspxSpy2014大马中的PluginLoader模块给单独提取出来了，可以使用assembly反射加载dll来进行API Unhook执行命令。

如果IIS长时间不用w3wp.exe就会被结束，刚执行的Unhook就会失效，为了方便，我将命令执行也加了进去，UnHook -> Execute。

只要绕过了这个防护软件的命令执行，随便用一个EXP就可以提权了，这里以CVE-2017-0213为例，当然，前提是要存在这个漏洞哦。

注：AspxSpy2014马会被特征查杀，而且开启“上传扩展过滤【白名单】”选项时在PluginLoader模块执行加载的dll时也会被拦截，如下图所示。

这篇文章只是给大家提供一个绕过思路，具体的绕过方式暂不对外公布，有兴趣的可以加我私下交流。

来源 https://mp.weixin.qq.com/s/r0fYw_n__41vxDU4xbp39Q

原创文章，作者：mOon，如若转载，请注明出处：https://www.moonsec.com/4328.html

绕过IIS命令执行防护提权