智创网站
专业级防火墙


防黑客入侵、防提权、防创建新用户、文件防篡改
专业级防火墙帮助您抵御各种黑客非法侵害!

导航

智创IIS防火墙阻断ASP/PHP/.NET...网页木马读取IIS配置和执行DOS命令演示

1、如果网站存在漏洞被上传 ASP / PHP / .NET ...网页木马,通过网页木马可以获取到服务器的很多系统信息

 

例如

    • 尝试从IIS里读取 IIS用户的用户名和密码,将 IIS用户提权,通过“远程桌面”登录服务器等
    • 从 ASP / PHP / .NET ...网页木马里执行 DOS命令,进行提权等

 

2、作为演示,我们建立了一个网站,上传了一个 ASP.NET 木马

    如下图所示,我们从 ASP.NET网页木马里点“IIS Spy”功能,正常情况下,我们可以看到 IIS网站里
的用户名和密码原文信息,即使密码很长使用了特殊字符,也可以被直接读取出来。

    注:IIS里保存的Windows密码副本是“可逆加密”保存的,不是 MD5 这样的单向 HASH 值。Windows用户里
的密码是 MD5的单向 HASH值,需要穷举破解。

 

3、我们开启智创IIS防火墙的“→ 危险系统组件监控拦截”功能

填写防护规则,然后启动保护。

注:如果未安装IIS防火墙,请从这里下载 https://www.zcnt.com/iis.asp (V6.00版本和之后的新版本支持)

 

4、启用保护后,ASP.NET网页木马读取 IIS配置信息的行为已经被阻断,无法读取IIS信息了

 

5、通过ASP.NET木马,我们也可以读取用户信息和系统信息

(1)读取 Windows用户信息配置

 

(2)读取Windows系统信息配置

 

6、通过 ASP.NET木马,也可以运行 DOS命令或EXE程序,来进行提权操作等

 

7、启用“→ DOS命令和EXE程序监控拦截”保护,禁止通过网页执行命令

 

8、启用保护,我们通过日志文件,可以看到通过 ASP / PHP / .NET 网页执行命令,都会被阻止,同时会有日志记录

通过查询日志记录,刚才通过 ASP.NET木马执行的 DOS 命令都会记录下来,并阻断。

 

9、我的是特殊网站,例如,《虚拟主机管理系统》网站,需要执行DOS命令和读取IIS信息,如何处理?

    对于特殊的网站,例如《虚拟主机管理系统》网站,可以把网站的 IIS池加入到白名单,允许读
取IIS配置和运行DOS命令,这样对 虚拟主机管理系统就没有影响了。

 

10、软件运行环境和限制

(1)支持的操作系统:

    • Windows 2003 32位系统,IIS 6.0

    • Windows 2003 64位系统,IIS 6.0,IIS应用程序池运行在32位模式

    • Windows 2008 32位系统,IIS 7.0

    • Windows 2008 64位系统,IIS 7.0,IIS应用程序池运行在32位模式

    • Windows 2008 R2 64位系统,IIS 7.5,IIS应用程序池运行在32位模式

 

(2)软件下载地址:

当前功能已经内置到《智创IIS防火墙》里,下载安装IIS防火墙即可使用。
IIS防火墙下载地址 https://www.zcnt.com/iis.asp (V6.00版本和之后的新版本支持)