查看: 23714|回复: 7

绕过云锁记录以及一些思路

[复制链接]
  • TA的每日心情
    无聊
    2020-10-27 08:53
  • 签到天数: 163 天

    [LV.7]常住居民III

    发表于 2016-2-3 19:22:02 | 显示全部楼层 |阅读模式
    前几天看到群里一个道友发了网站说有云锁。求突破绕过。

    我琢磨着上去看了下。找了个上传页面。程序是.NET写的。也就是aspx。一般支持ASPX也支持ASP。
    首先习惯看下服务是IIS6.0的

    1.png

    一般IIS6.0有个解析漏洞类似XXXX.asp;.jpg这种。这个网站上传后文件名按时间生成。

    这里我找了个上传点传了个正常图片上去。找到了上传目录,发现可以列目录。这样省了很多麻烦。然后继续测试排除。

    发现文件名虽然会变,但是后缀不会变。但是奇怪的是比如我上传文件名为xxxx.asp;.jpg最后得到的文件就是
    2.png

    可以大致猜到这个程序的作者的过滤方式大概是。匹配出文件名最后出现的点。将点和后门所有的字符去掉。
    为了印证这个猜想。我传了一个xxx.asp.jpg上去。。呵呵是不是以为是apache解析。当然不是。。我这个是asp又不是php。而且没有apache的环境不支持解析php文件。
    把文件传上去后印证了我的猜想。
    4.png

    成功绕过了。

    接下来就是云锁了。上传了一个一句话文件。云锁直接拦截

    因为是几天前弄得。没做记录。几天特意上去弄了些截图。如果把一句话写到程序自带文件里面,云锁还是拦截。
    3.png

    接下后给大家说说,在这上面遇到的2种拦截方法,一个是上面的云锁。一种是直接把文件内容替换。。第二种文件内容被替换的我就没办法了。不过应该只杀脚本文件。针对第一种拦截。我没有研究过云锁的拦截规则。所以也不知道怎么说。应该是正则匹配+关键词函数。。。我的绕过方法是---这里我拿一个小马做测试。小马直接是asp文件.访问直接拦截
    5.png

    于是我把这个小马文件后缀改成图片文件的后缀。比如jpg传上去。又不解析所以不拦截。
    然后我又传了一个文件。内容是
    [Visual Basic .NET] 纯文本查看 复制代码
    <!--#include file="刚才传的那个小马图片.jpg"-->
    <%response.Write 1+1%>


    就是用包含来绕过。下面那个只是用来测试是否解析asp文件,解析的话就会输出2。。因为云锁貌似对于这些函数不拦截。访问该文件。成功绕过
    6.png


    大概就是这样一个方法。这里就是给大家介绍个思路,在遇到无法突破的环境时候,可以尝试多测试几次,用排除法排除掉一些可能性。在对症下药。

    评分

    参与人数 2i币 +23 收起 理由
    90_ + 12 支持原创
    浮尘 + 11 感谢分享

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情

    2024-12-14 22:22
  • 签到天数: 1631 天

    [LV.Master]伴坛终老

    发表于 2016-2-3 19:45:51 | 显示全部楼层
    我发现你们一个个的都是土豪啊
    http://www.ihonker.org/thread-7587-1-1.html

    点评

    日....没注意。。求时间倒流  详情 回复 发表于 2016-2-3 20:02
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2020-10-27 08:53
  • 签到天数: 163 天

    [LV.7]常住居民III

     楼主| 发表于 2016-2-3 20:02:28 | 显示全部楼层
    90_ 发表于 2016-2-3 19:45
    我发现你们一个个的都是土豪啊
    http://www.ihonker.org/thread-7587-1-1.html

    日....没注意。。求时间倒流
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2021-5-30 23:04
  • 签到天数: 90 天

    [LV.6]常住居民II

    发表于 2016-2-3 21:29:39 | 显示全部楼层
    呵呵,红客焦点,知道了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2018-9-22 14:28
  • 签到天数: 157 天

    [LV.7]常住居民III

    发表于 2016-2-4 14:04:58 | 显示全部楼层
    谢谢lz,学习到了,用包含函数绕过。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

    发表于 2016-2-12 17:44:42 | 显示全部楼层
    n年以前,这个方法过狗的
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2020-7-31 22:26
  • 签到天数: 88 天

    [LV.6]常住居民II

    发表于 2016-3-7 13:59:29 来自手机 | 显示全部楼层
    表示曾经也是包含文件过 云锁的 。安全狗  也是可以包含过掉的。但是 至今 没有包含 过掉 D盾 貌似D盾直接检查文件  看到include
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2020-7-31 22:26
  • 签到天数: 88 天

    [LV.6]常住居民II

    发表于 2016-3-7 13:59:51 来自手机 | 显示全部楼层
    这类包含关键语句 直接拦截
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-31 01:38 , Processed in 0.056664 second(s), 22 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部