护卫神·主机大师
| 功能 | 描述 |
| 一键安装网站运行环境 | IIS+ASP+ASP.net+PHP5.2-5.6+MySQL+FTP+伪静态+PhpMyAdmin。 |
| Web方式管理 | 拥有独立前台和后台面板,支持Windows Server 2008/2012。 |
| 安全防护经验 | 结合护卫神14年安全防护经验。 |
安全漏洞分析
(图片来源网络,侵删)
| 漏洞类型 | 描述 |
| 提权漏洞 | 通过特定脚本获取管理员cookie,绕过登录限制进入虚拟主机管理后台。 |
| 代码验证问题 | 开发者未考虑内部用户是否合法,导致低权限webshell可以访问虚拟主机管理后台。 |
| 提权前提 | 已经获取到虚拟主机上的一个webshell。 |
漏洞利用步骤
1、获取Webshell:攻击者需要先获取到虚拟主机上的一个webshell。
2、上传脚本:将特定的asp脚本上传至服务器。
3、获取Cookie:通过访问脚本获取管理员cookie。
4、修改Cookie:在本地修改cookie后即可进入到虚拟主机管理后台。
(图片来源网络,侵删)
5、提权操作:进入后台后,通过FTP或其他方式上传shell压缩包,选择护卫神管理系统路径进行解压,成功后获取到高权身份。
修复方案
| 措施 | 描述 |
| 删除相关验证代码 | 避免通过特定脚本获取管理员cookie的可能性。 |
| 强化内部安全 | 开发者在开发过程中不要对内部过于信任,确保内部绝对的安全。 |
防御工具
| 工具名称 | 防御原理 | 防御效果 |
| 护卫神·防篡改系统专业版 | 限制MySQL的访问行为,只能允许其访问安装目录、数据库目录以及临时目录,特别禁止执行CMD.EXE等进程。 | 100%防提权,即使后期出现新的代码执行漏洞,也能100%防范。 |
虽然护卫神·主机大师提供了便捷的网站运行环境搭建和管理功能,但其存在的安全漏洞也不容忽视,通过合理的安全配置和及时的漏洞修复,可以有效提升系统的安全性,使用专业的防御工具也是保障服务器安全的重要手段。
小伙伴们,上文介绍护卫神漏洞的内容,你了解清楚吗?希望对你有所帮助,任何问题可以给我留言,让我们下期再见吧。
(图片来源网络,侵删)
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/76645.html
