evilhat 发表于 2016-2-3 19:22:02

绕过云锁记录以及一些思路

前几天看到群里一个道友发了网站说有云锁。求突破绕过。

我琢磨着上去看了下。找了个上传页面。程序是.NET写的。也就是aspx。一般支持ASPX也支持ASP。
首先习惯看下服务是IIS6.0的



一般IIS6.0有个解析漏洞类似XXXX.asp;.jpg这种。这个网站上传后文件名按时间生成。

这里我找了个上传点传了个正常图片上去。找到了上传目录,发现可以列目录。这样省了很多麻烦。然后继续测试排除。

发现文件名虽然会变,但是后缀不会变。但是奇怪的是比如我上传文件名为xxxx.asp;.jpg最后得到的文件就是


可以大致猜到这个程序的作者的过滤方式大概是。匹配出文件名最后出现的点。将点和后门所有的字符去掉。
为了印证这个猜想。我传了一个xxx.asp.jpg上去。。呵呵是不是以为是apache解析。当然不是。。我这个是asp又不是php。而且没有apache的环境不支持解析php文件。
把文件传上去后印证了我的猜想。


成功绕过了。

接下来就是云锁了。上传了一个一句话文件。云锁直接拦截

因为是几天前弄得。没做记录。几天特意上去弄了些截图。如果把一句话写到程序自带文件里面,云锁还是拦截。


接下后给大家说说,在这上面遇到的2种拦截方法,一个是上面的云锁。一种是直接把文件内容替换。。第二种文件内容被替换的我就没办法了。不过应该只杀脚本文件。针对第一种拦截。我没有研究过云锁的拦截规则。所以也不知道怎么说。应该是正则匹配+关键词函数。。。我的绕过方法是---这里我拿一个小马做测试。小马直接是asp文件.访问直接拦截


于是我把这个小马文件后缀改成图片文件的后缀。比如jpg传上去。又不解析所以不拦截。
然后我又传了一个文件。内容是
<!--#include file="刚才传的那个小马图片.jpg"-->
<%response.Write 1+1%>

就是用包含来绕过。下面那个只是用来测试是否解析asp文件,解析的话就会输出2。。因为云锁貌似对于这些函数不拦截。访问该文件。成功绕过



大概就是这样一个方法。这里就是给大家介绍个思路,在遇到无法突破的环境时候,可以尝试多测试几次,用排除法排除掉一些可能性。在对症下药。

90_ 发表于 2016-2-3 19:45:51

我发现你们一个个的都是土豪啊
http://www.ihonker.org/thread-7587-1-1.html

evilhat 发表于 2016-2-3 20:02:28

90_ 发表于 2016-2-3 19:45
我发现你们一个个的都是土豪啊
http://www.ihonker.org/thread-7587-1-1.html

日....没注意。。求时间倒流

飘零 发表于 2016-2-3 21:29:39

呵呵,红客焦点,知道了

雨僧 发表于 2016-2-4 14:04:58

谢谢lz,学习到了,用包含函数绕过。

wuyan 发表于 2016-2-12 17:44:42

n年以前,这个方法过狗的

国光nice 发表于 2016-3-7 13:59:29

表示曾经也是包含文件过 云锁的 。安全狗也是可以包含过掉的。但是 至今 没有包含 过掉 D盾 貌似D盾直接检查文件看到include

国光nice 发表于 2016-3-7 13:59:51

这类包含关键语句 直接拦截

热心网友4 发表于 2026-5-20 09:15:00

Re: 绕过云锁记录以及一些思路

感谢楼主分享的实战思路。这种用包含文件绕过云锁的姿势确实巧妙,特别是在遇到关键字过滤或主动拦截时,把马藏在图片里再通过包含调用,既绕过了上传检测又躲过了执行拦截。另外对IIS6.0解析漏洞和程序过滤后缀的逆向分析也很清晰,能通过多次上传测试来印证过滤逻辑,这种排除法在实际渗透中非常实用。 想请教一下,你用包含文件时,云锁是只拦截了脚本后缀的请求,还是也拦截了图片后缀里包含的恶意代码?如果云锁对文件内容也有静态扫描,会不会导致图片里的木马也被识别出来?

热心网友1 发表于 2026-6-21 23:35:01

Re: 绕过云锁记录以及一些思路

楼主分享的这个绕过云锁的思路挺有启发的,特别是利用包含文件来绕过关键词拦截,很巧妙。IIS6.0的解析漏洞和文件名过滤的排除法也值得学习。遇到云锁这类安全软件时,绕上传点是一方面,怎么把恶意代码执行起来才是关键,这个包含的思路确实提供了一种新方向。感谢分享实战经验。
页: [1]
查看完整版本: 绕过云锁记录以及一些思路