[讨论]有啥好办法突破VIF VIF, 办法, 讨论

2000gaobo

[讨论]有啥好办法突破VIF
议题作者：伤心的鱼
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

   1.jpg (27 KB)


2007-9-9 12:49
以前搞到过服务器 但是现在已经不能登陆了 但是我以前的SHELL还在。 登陆一下发现除了浏览其他权限都没有~ 服务器新装了VIF 貌似这玩意很厉害~ 有没有朋友能说说怎么搞定他 不胜感激www.hack521.cn

帖子207 精华1 积分3652 阅读权限150 在线时间464 小时 注册时间2007-4-12 最后登录2008-7-22 查看个人网站
查看详细资料TOP 少女暴富的隐秘（图）

伤心的鱼
运维管理组

win

汗死..这VIF问了几个人都不了解 ~~ 郁闷啊 可惜了偶的ASPX马只能浏览 哇日www.hack521.cn

帖子207 精华1 积分3652 阅读权限150 在线时间464 小时 注册时间2007-4-12 最后登录2008-7-22 查看个人网站
查看详细资料TOP 软件项目外包

血狐
晶莹剔透§烈日灼然

小兵张噶

好象这东西对手工注入不起作用

帖子53 精华0 积分173 阅读权限40 性别男 在线时间171 小时 注册时间2007-5-9 最后登录2008-2-25 查看详细资料TOP 赚更多的钱

伤心的鱼
运维管理组

好牙烟

俺现在可是ASPX的马 竟然只能浏览 什么都不能操作 天那 天亡我也www.hack521.cn

帖子207 精华1 积分3652 阅读权限150 在线时间464 小时 注册时间2007-4-12 最后登录2008-7-22 查看个人网站
查看详细资料TOP

rokey
荣誉会员

名山大川

第一次看到的文章是lake2写的突破一流，激动的看了一遍后发现的确是一流软件在防SQL注入的时候太想当然了。但也不失为大家尝试突破安装了这个软件的突破口。

VIF不一样，VIF是直接通过拦截SQl注入原文，比如：Select update等等，当然了也考虑到了用户用%xx这样的方式来编码饶过的问题。这点VIF做的比较好，没有被lake2突破出来

第二次看到的就是langouster 发的文章，langouster 发的时候把lake2的原文贴到了下面，平时看文章也比较快，一下就以为这个文章是转贴，标题也一样就没仔细看。


群里有朋友也不只无数次给我发了这个连接 叫我看，我始终没仔细看，直到一个用户对我说，他实验成功了，的确可以突破，我才下去仔细的再读了一遍。

的确，这个漏洞是存在的，ASP.DLL在解码URL的时候采用了异常补获机制，而大多数的urldecode函数中有的却没有带异常捕捉（urldecode不知道有人要利用它来黑站）。这..................这算不算是asp.dll的一个BUG呢，我无语。

接下来的情况就是修复，按照Asp.dll的解码方式写出了与它一致的decode函数，覆盖原来vif的decode函数即可。至此，这个突破口被VIF堵上了，新版本的下载与描述请见：http://www.myiis.cn/News/Show.asp?id=49 （软件为商业软件，非喜勿入）

我想VIF是在这个关注整个“娱乐圈”响应漏洞处理速度最快的了，看到lake2向一流反映一点结果也没有


此文咋一看总有那么一点广告的嫌疑，哎....总有人那么想，只得贴点实际意义的东西来，有些人喜欢看：

标准的urldecode解码的流程为

10：


取一个字符，如果这个字符不是%，那么就保存这个字符，并且继续

如果是%，那么就取%后面的2位进行hextoint的转化，问题就出在这里，当这2位数字不是标准的0,1,2,3,4,5,6,7,8,9,a,b,c,d,e,f 那么 hextoint 就会触发异常

异常发生了，后果很严重，catch后，大部分urldecode就把这次decode的结果设置为空！（恐怖吧），至少VIF 3.35.3版本之前的版本是这样。


而ASP就很TMD的健全，他捕获了这个异常，然后把此轮循环的解码跳过，继续取下一个字符，并且把%后的下一个字符保存起来，再Goto 10;

呵呵，那么就补吧，具体的补的细节不说了，你只要做到跟ASP一样即可！




原文大家就参见：http://forum.eviloctal.com/read-htm-tid-26639.htmlhttp://jnfly.com

帖子175 精华0 积分3293 阅读权限100 在线时间72 小时 注册时间2007-8-18 最后登录2008-7-24 查看详细资料TOP 软件项目外包

rokey
荣誉会员

揸拖拉机入西藏

用用“%”来割开字符 试试 可以突破vif防火墙http://jnfly.com

帖子175 精华0 积分3293 阅读权限100 在线时间72 小时 注册时间2007-8-18 最后登录2008-7-24 查看详细资料TOP 良辰择日，预测咨询，公司改名，权威易经

伤心的鱼
运维管理组

剑花江南

不是 我不是要注入 ~ 我现在已经拿到SHELL了 是ASPX的马 现在就是这个马的权限除了浏览什么都没有 编辑 删除 修改都不行  ~ 郁闷www.hack521.cn

帖子207 精华1 积分3652 阅读权限150 在线时间464 小时 注册时间2007-4-12 最后登录2008-7-22 查看个人网站
查看详细资料TOP 让女孩一夜变的更有女人味

rokey
荣誉会员

凯门鳄

先来说URL编码，%加两位的16进制表示一个字符，比如’经过编码之后就是%27，这是人人都知道的URL编码规则，UrlUnescapeInPlace之类的API函数甚至于程序员自己写的URL译码函数都是基于这一思想。

然而，我们何必如此听话，试想一下要是%后跟的不是16进制数字而是像abc%hh会发生什么事呢。先看UrlUnescapeInPlace，

写个小程序试一下，abc%hh经过译码还是abc%hh；再看asp.dll是怎么译码的，在asp页面中写入 response.Write(request.QueryString("str"))，然后用?str=abc%hh访问它，页面显示abchh，它直接把%给去掉了。

现在来思考要是我们提交sele%ct，信息监控系统得到的字符串还是sele%ct，当然它不是危险字符，它就不会拦截，但对于ASP，它得到的可就是select了，其它的同理，’可用%’表示，比如and exists(select * from admin)可转化为以下字符串a%nd ex%ists(%select * %from ad%min)。此方法可举一反三，比如用%%代替%都可以，还可以是其它的，具体的可以去看RFC2396。http://jnfly.com

帖子175 精华0 积分3293 阅读权限100 在线时间72 小时 注册时间2007-8-18 最后登录2008-7-24 查看详细资料TOP

伤心的鱼
运维管理组

hailar

我还是自己去瞅瞅lake大叔的大作吧 ~~www.hack521.cn

帖子207 精华1 积分3652 阅读权限150 在线时间464 小时 注册时间2007-4-12 最后登录2008-7-22 查看个人网站
查看详细资料TOP

kking
晶莹剔透§烈日灼然

皓新

VIP 是 SoftBug 的作品，目前已经是以产品的方式在进行销售，该软件的原理是深入IIS核心层根据一定的规则拦截所有可能对服务器或者站点构成安全威胁的指令，也就是说：“除非 SoftBug 有疏漏的地方，否则无法突破！”http://www.vtwo.cn
帖子54 精华0 积分127 阅读权限40 性别男 在线时间25 小时 注册时间2006-10-9 最后登录2008-3-14 查看个人网站
查看详细资料TOP

伤心的鱼
运维管理组

小灵通

在雨夜同学的帮助下问题已成功解决 在此强烈感谢雨夜同学.... 结贴www.hack521.cn

帖子207 精华1 积分3652 阅读权限150 在线时间464 小时 注册时间2007-4-12 最后登录2008-7-22 查看个人网站
查看详细资料TOP

伤心的鱼
运维管理组

紫绫

VIP 是 SoftBug 的作品，目前已经是以产品的方式在进行销售，该软件的原理是深入IIS核心层根据一定的规则拦截所有可能对服务器或者站点构成安全威胁的指令，也就是说：“除非 SoftBug 有疏漏的地方，否则无法突破！”


四个字  纯属扯淡www.hack521.cn

帖子207 精华1 积分3652 阅读权限150 在线时间464 小时 注册时间2007-4-12 最后登录2008-7-22 查看个人网站
查看详细资料TOP

bink
荣誉会员

赤脚天使

鱼说说怎么突破的？我学习学习？很好.
帖子660 精华4 积分5585 阅读权限100 性别男 在线时间247 小时 注册时间2005-9-2 最后登录2007-12-4 查看详细资料TOP

伤心的鱼
运维管理组

dglemon

BINK老大 嘿嘿， 你看图能看出来 只要是URL里带有%5c的话 VIF就认为是爆库
他对POST跟GET都没有过滤 就认为%5c是爆库 当时雨夜都疯了 哈哈 说是白痴软件。
所以用nc直接post上去就可以了。等偶回家了发SHELL给你 你看看 很好玩的www.hack521.cn

帖子207 精华1 积分3652 阅读权限150 在线时间464 小时 注册时间2007-4-12 最后登录2008-7-22 查看个人网站
查看详细资料TOP

冰封メ心弦
荣誉会员

叶王子

只要是URL里带有%5c的话 VIF就认为是爆库
....................   无语了，刚看标题还以为VIF是个厉害的东东- -！原来那么死板 www.90hackit.cn(90后IT)
帖子43 精华2 积分501 阅读权限100 性别男 来自www.90hackit.cn 在线时间27 小时 注册时间2007-7-4 最后登录2008-6-27 查看个人网站
查看详细资料TOP

bink
荣誉会员

帅仔

哦？可能是SOFTBUG这家伙疏忽下，通知他改改去，对了，前面那个 KKing 是我马甲，我以为你在说SSK2呢，自己没看清楚，VIF我没兴趣，但那个SSK2确实不好突破。。很好.
帖子660 精华4 积分5585 阅读权限100 性别男 在线时间247 小时 注册时间2005-9-2 最后登录2007-12-4 查看详细资料TOP

softbug
技术核心组

没没

实在是很忙 还好有Bink帮我关注论坛的黑人们对VIF的看法，在这里先谢过Bink了。

VIF，确切的说是MYIIS-VIF,是一个多功能的IIS软件。其中有一个功能叫GET注入防护。

GET注入的含义，不想过多的解释。

暴库呢，通常是由一堆编码构成(%5c属于其中一种)，顺带VIF也把这个给拦截掉了。

自始至终，VIF没有声称提供对POST的注入支持啊，聪明的黑客自然都会想到POST来提交数据。可怎么就给软件下了个“白痴软件”的定义呢？ 汗！太无辜了。

个人认为，只要能在入侵过程中加重加大黑客在入侵过程中的难度与压力，相信黑客很快就想到放弃。但楼主这样的黑客也不在少数啊，其坚韧不拔的意志力真的很强啊。佩服啊！

再说说解码的问题，上次的文章我也说的很清楚了，解码其实只是对IE来说才有的，对IIS来说，我们在得到URL的时候实际上是已经被IIS自动解码了的，无论多复杂的编码，到了IIS这里，都得还原。这说明了妄图通过编码来饶过入侵的方式是不行的。

最后说说关于注入防护的问题，IISUSER现在已经有了可以防护POST与GET的秒杀方式，而且已经测试通过。 只是没有释放出来而已，一是太忙，二是，真的放出来了，黑客们怎么过日子。IISUSER究竟在忙什么？我们在试图找出一种更简单的秒杀方式，说白了，在无聊的瞎折腾中。：）


关于bink说的SSK2软件的问题，这软件好是好，问题就是BUG有点多，没时间去修补。不如不修了。

最近太忙， 感谢关心VIF的朋友们。同时感谢我的团队对VIF的支持，对IISUSER的支持。希望此“白痴软件”能带给黑客更大的快感，至少你突破它的那一瞬间，快感是存在的。

论坛地址: http://www.ssk2.cn & www.iisuser.com
帖子287 精华14 积分6821 阅读权限200 性别男 在线时间96 小时 注册时间2005-1-7 最后登录2008-7-22 查看个人网站
查看详细资料TOP

bink
荣誉会员

捷达仔

可惜了，一个能够让我的 Trojan.Cluna 无法生存的软件就这样因为BUG的问题而终结了？不过我到是建议老兄你继续把他开发完，哪怕真像你说的“二是，真的放出来了，黑客们怎么过日子。”，我们也好有个探讨的话题了，至少目前我没有想出如何去突破你的IISUSER，但是我知道任何软件都没有绝对一词，有个希望，有个挑战总是好的。很好.
帖子660 精华4 积分5585 阅读权限100 性别男 在线时间247 小时 注册时间2005-9-2 最后登录2007-12-4 查看详细资料TOP

softbug
技术核心组

超越改

行 可以单独release出来大家娱乐 呵呵 挑战的快感是不错的 黑客都喜欢挑战
但,快感的发泄要忍哦 不要乱发泄 哈哈论坛地址: http://www.ssk2.cn & www.iisuser.com
帖子287 精华14 积分6821 阅读权限200 性别男 在线时间96 小时 注册时间2005-1-7 最后登录2008-7-22 查看个人网站
查看详细资料TOP

伤心的鱼
运维管理组