WooYun.org

一、前言
安全狗现在做的是越来越好了，这个拦截webshell功能也是越来越强大了。今天下午没有课，挺风和日子的...就简单测试一下!
二、测试过程
安全狗的防护webshell功能可以拦截1.asp;.gif这样利用解析创建的webshell。今天简单测试一下，发现这个功能做的很好，美中不足有个小问题来简单说一下

C:\onlytest是站点根目录，创建test.asp和test.asp;文件夹，同时创建test.asp;.gif文件
两个文件夹下存放文件1.txt内容如下:

一看大家都懂。
访问测试:

访问http://localhost/test.asp;/1.txt

呵呵，不拦截了就是这么简单。当然需要能创建特定文件夹的环境下才能起作用。这里简单说一下为什么test.asp;/1.txt可以当做asp来解析。(或者大家可能都知道，我这里就简单点说吧)
三、iis6特性说明
当iis接收到一个请求后，会首先判断调用哪个dll对请求进行响应,如果请求的是asp文件则调用asp.dll进行响应，其它后缀按照设置调用相应的dll进行响应。
经过对iis6.0的分析，最终确定在w3core.dll(C:\WINDOWS\system32\inetsrv)的W3_URL_INFO::ProcessUrl(IDA加载符号表后函数名)的函数中实现上述过程.
具体代码如下:

首先，获得接收到的url相对路径，开始进行处理，从左到右查找第一个.字符，查找成功后，会做计算，判断点字符最大个数是否超过设置最大数0x64,如果小于最大值，则继续处理。

在上一个结果基础上，从左到右查找/字符。如果找到则跳转。

获得点与/之间字符的个数，设置STRU(字符串对象长度)的长度。然后无条件跳转，继续进行判断

查找分号：

查询成功后，会截取点字符与分号字符之间的字符，计算长度，设置长度信息

获得点字符与/或者;之间的字符，然后将其转化成小写。调用FindEntry进行查询。Entry保存的是iis的配置信息的映射关系。在iis配置信息中如下所示:

Entry里面保存的是这个对应关系表。asa后缀对应C:\WINDOWS\system32\inetsrv\asp.dll。
传入的获得的后缀如.asp则会在列表中根据后缀进行查找，如果查找成功会返回一个对象，包括dll路径，动作等信息的对象。

如果查询成功则会将上述对象保存，后面会调用响应dll进行处理请求即参数等信息。如果查询失败:

则会判断后缀是否是.dll、.isa、cgi等后缀。如果不是则回到开始位置，查找下一个点字符。进行循环处理。
四、小结
Iis保存着后缀和dll之间的对应关系。而iis对url解析获得后缀的过程如下:
1.获得url请求的路径如/1.txt/test.asp/test/1.txt( 原始url：
http://localhost/1.txt/test.asp/test/1.txt )
2.从左向右查询.字符，如果点字符个数大于0x64，退出
3.在找到的字符后查询/查找成功后获得.与/之间字符txt
4.在找到的字符串之间进行查找;
5.如果查找后则获得.与;之间的字符
6.将找到字符转换成小写
7.查找映射表，找到则获得处理请求的dll。
8.查找失败，则查询是否是.dll等字符
9.如果不是cgi等字符，则goto 2进行处理
而在映射表中，看到还有很多后缀会调用asp.dll进行解析，如asa、cdx、cer。因此对于形如
http://localhost/test.asp(Asp、cer、cdx)/*
http://localhost/test.asp(Asp、cer、cdx);*
都可以当做asp来解析。