一种特殊情况下绕过安全狗执行命令的方法

 
20140617015432667
正常情况下,安装有新版安全狗是会拦截命令的执行的。
1111
 安全狗的配置文件在C:\Program Files\SafeDogSiteIIS\GeneralConfig\目录下(默认路径安装的安全狗);
2222    通过文件监控得知“禁止执行程序防护功能”的应用程序白名单配置文件为ProhibitExecute.dat。如果运行Web服务的账户有较高的权限,能够使用Webshell替换掉这个文件(这种情况并不是很多,但还是有的)…… 
    我在本机将c:\windows\system32\cmd.exe添加到了白名单路径,然后保存获取到了新的ProhibitExecute.dat。用这个文件替换掉目标系统中的ProhibitExecute.dat,大约2分钟之后就可以成功执行命令了。
3333  当然,可以实现替换文件的方式还有很多。比如数据库账户有较高的权限,无法成功执行命令但可以导出文件;某些FTP无法执行命令但可以添加账号或使用已有账号连接来替换文件…… 
    感觉这个方法和导出文件到启动项、替换sethc.exe等比较相像,但是更节约时间。其它的配置文件是用来干什么的,自由发挥哈! 
已添加c:\windows\system32\cmd.exe到白名单的配置文件下载:

链接:http://pan.baidu.com/s/1qWuVw0O 密码: d2ka

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: