突破护卫神利用for读取账号密码

这是第一次入侵然后+iis6溢出提权就搞定目标站了。但是这次又需要目标站权限，之前的权限都掉了。重新在来弄。
1.星外服务器，各站只支持相应的脚本。比如asp就支持asp。。。aspx和php可以显示。但是直接显示明文。aspx的站也一样，上传asp脚本直接显示明文。
2.升级后的护卫神，在fckeditor突破的那个图片aspx一句话已经利用不了。
3.一流监控。有图有真相。

过程:
传了上次的那个图片aspx的一句话，可以上传。但是上传之后就变成了。x.aspx.log 要是加上; 就会过滤;变成日期+hwf

我的aspx图片的图片一句话没有被一流监控拦截，但是被护卫神判断成木马拦截了。
弄了半天想到了突破蛋疼的护卫神
把aspx图片一句话改成jpg格式。但是一上传 。又变成了。2.jpg.log  。我去
百度查了一下，貌似能上传的东东，改成html或htm不被查杀。直接改成3.html。上传。小激动一下，上传成功，没被检测出来。

然后上传了一个f.aspx内容为 <!–#include file=”3.html”–>   成功。测试看看。

直接菜刀连接，当时提权的时候就知道，可读写目录C:/Documents and Settings/All Users/Application Data/Microsoft/Media Index
星外么，还好还可以用。本来准备直接提权的。但是iis6溢出已经不行了，出现Can not find wmiprvse.exe。。这个貌似可以突破。我没成功过。
其他的溢出都测试了一遍，没成功。星外利用工具，没成功。列iis信息，不让上传vbs，一上传就被杀。把vbs转换成exe。exe直接上传不了。
mysql和s-u的目录都没权限。最后想到了利用for来看看。目标站是用的是 DZ 2.5。先看看可不可以列。for /d %i in (d:/wwwroot*) do @echo %i

然后去爆dz 2.5的路径。

uc_server/control/admin/db.php
source/plugin/myrepeats/table/table_myrepeats.php
install/include/install_lang.php
接着利用for for /d %i in (D:/wwwroot/xxxx/web*) do @echo %i

bbs是dz2.5先不看。看到根目录下有个一串的东东。先看看。

帝国备份王。嘎嘎，有搞头。先显示这个文件下的所有文件。for /r D:/wwwroot/xxx/web/xxx %i in (*) do @echo %i
然后复制帝国下的 classconfig.php 到一个可写目录。。星外的C:/7i24.com/iissafe/logsys目录可写。利用
type D:/wwwroot/xxx/web/xxx/class/config.php echo >>C:/7i24.com/iissafe/logsys1.php

成功！！！！

破解md5登录吧。帝国备份王拿shell就不献丑了。最后用过护卫神的一句话就ok了。。。

结尾:
没了……

更多突破护卫神的思路可以参考《护卫神绕过总结》《对护卫神防火墙的分析》《突破护卫神之见招拆招》

原文地址：http://www.sh1ft2b.com/archives/17

作者:1_Two 由网络安全攻防研究室（www.91ri.org）信息安全小组收集整理，转载请注明出处。