iGuard简单突破
来源:皇子
InfoGuard,简称iGuard,俗称网页文件防止篡改器,昨天晚上被这个东西弄的头大了,好好研究了下,找到了解决办法,记录一下.
先给出这个东西的效果,随便丢了个webshell进去,没有被杀,服务器上是存在的,但是访问的时候就变成了这个胎蠢样子:
是不是有点郁闷呢…不过不要紧.我们可以找到InfoGuard的目录,我这里是C:\Tercel\iGuard\SyncServer\
这里有一个a.conf文件 打开他看看
隐约能抓到点东西,不过还不是很清晰.
经过一番努力,终于把这个配制文件的参数搞明白了
[System]
SignDB=C:\Tercel\iGuard\SyncServer\signdb\iguard.db
vid=BV8CcwNN6iH3dEAw
[dirs]
D:\Inetpub\gameto
其中各项含义分别为:
SignDB:为水印库目录;
vid:为水印库初始化向量,与发布服务器标识文件iguard.dat第一行保持一致;
[dirs]:把需要扫描水印的目录和文件,以每个目录/文件一行的方式填入。
这下应该清楚了吧.我们把里面dirs的部分换成我们webshell所在的路径,不过这样还没完.
iGuard安装后,连同这个配制文件一起的还有个wmktool.exe,这个程序是用来给文件上水印的,就是判断下他是不是被修改了,当然我们上传新的文件一样没有水印,所以也就当然无法使用了.
在a.conf同一目录下找到这个wmktool.exe,并且执行他
可以看到文件都被处理过了
再打开我们的shell看看
是不是已经ok了
当然了 你首先要有一个shell,而且有权限,不然就木办法了.
apache版的一样不堪一击
这个貌似不叫突破,只是执行了一次刷新水印的操作
呵呵 这样效果一般
当然了 你首先要有一个shell,而且有权限,不然就木办法了.
呵呵,记录下来先
高权限变成webshell低权限???
这个,汗一个。。。。。
我就是因为没有WEB SHELL所以才进来看是怎么突破的。。。。。结果给我来个有SHELL才能突破的、、、、、
死锁。。。。。。
既然能修改防篡改了,那应该也已经拿到了高权限了吧?
如果你有权限 你就直接把 iguard 卸载就好了 还刷新什么水印
这个也叫突破
傻子,产品都分不清,inforguard、iGuard本来就是两个厂家的两个产品。InfoGuard,简称iGuard SB