做查杀和访问对比如图...">云锁Webshell扫杀、拦截Bypass - exploit database | Vulners.com 做查杀和访问对比如图..."> 做查杀和访问对比如图..."> 做查杀和访问对比如图...">
Lucene search

K
seebugRootSSV:95521
HistoryApr 13, 2015 - 12:00 a.m.

云锁Webshell扫杀、拦截Bypass

2015-04-1300:00:00
Root
www.seebug.org
19

简要描述:

云锁的一个缺陷

详细说明:

云锁的Webshell查杀和拦截功能对包含一些特殊字符(具体哪些字符可自测,仅拿一个作为例子)作为文件名的文件失效。
两个一样的一句话,分别使用shell.asp和♥shell.asp作为文件名。

<img src=“https://images.seebug.org/upload/201504/0914430563b40596e5fa648f789bfc5efcd94de2.jpg” alt=“1.jpg” width=“600”>

做查杀和访问对比如图:

<img src=“https://images.seebug.org/upload/201504/09143919a089edea789b07e3b21f6c41172ec2da.jpg” alt=“2.jpg” width=“600”>

巡检只检出了shell.asp,没有检出♥shell.asp。

<img src=“https://images.seebug.org/upload/201504/09144456d5c96c402c58f1429e70d3f0e8c26071.jpg” alt=“3.jpg” width=“600”>

<img src=“https://images.seebug.org/upload/201504/09144531481360d063ea7fa62994779fd14a820e.jpg” alt=“4.jpg” width=“600”>

可以看到,访问拦截只针对普通文件名有效。

漏洞证明:

一只普通大马:

<img src=“https://images.seebug.org/upload/201504/091449508cb2e0ea6f36bacc234c369c7758f78a.jpg” alt=“5.jpg” width=“600”>