一种特殊情况下绕过安全狗执行命令的方法

现在对安全狗拦截执行命令的规则一直很蛋疼,

正常情况下,安装有新版安全狗是会拦截命令的执行的。执行时候无回显, 


2015051017392847912.jpg

安全狗的配置文件在C:\Program Files\SafeDogSiteIIS\GeneralConfig\目录下(默认路径安装的安全狗); 


2015051018001277345.jpg


通过文件监控得知“禁止执行程序防护功能”的应用程序白名单配置文件为ProhibitExecute.dat。如果运行Web服务的账户有较高的权限,能够使用Webshell替换掉这个文件(这种情况并不是很多,但还是有的)…… 


我在本机将c:\windows\system32\cmd.exe添加到了白名单路径,然后保存获取到了新的ProhibitExecute.dat。用这个文件替换掉目标系统中的ProhibitExecute.dat,大约2分钟之后就可以成功执行命令了。 


2015051017464681332.jpg


当然,可以实现替换文件的方式还有很多。比如数据库账户有较高的权限,无法成功执行命令但可以导出文件;某些FTP无法执行命令但可以添加账号或使用已有账号连接来替换文件…… 


感觉这个方法和导出文件到启动项、替换sethc.exe等比较相像,但是更节约时间。其它的配置文件是用来干什么的,自由发挥哈! 

已添加c:\windows\system32\cmd.exe到白名单的配置文件下载:


ProhibitExecute.rar


转自:http://zone.wooyun.org/content/20294

评论回复