【51CTO.com 獨(dú)家特稿】筆者在《從Webshell到肉雞》的一文中提到了如何通過(guò)Webshell的特征關(guān)鍵字來(lái)獲取Webshell，同時(shí)提到了三種真正能夠獲得該Webshell的方法，本文是對(duì)上文的一個(gè)補(bǔ)充，也即當(dāng)我們找到一個(gè)需要密碼驗(yàn)證的Webshell時(shí)，從網(wǎng)絡(luò)攻防的角度，應(yīng)該如何來(lái)處理問(wèn)題。由于本次檢測(cè)未能聯(lián)系到官方負(fù)責(zé)人，因此主要從安全檢測(cè)的角度進(jìn)行分析。

一、獲取Webshell信息

1.使用Google再次進(jìn)行關(guān)鍵字搜索

直接打開Google搜索頁(yè)面，在其中輸入關(guān)鍵字“Copyright (C) 2008 Bin -> WwW.RoOTkIt.NeT.Cn”，然后單擊“Google搜索”，如圖1所示，出現(xiàn)兩個(gè)搜索結(jié)果。

圖1

2.增加特征關(guān)鍵詞范圍進(jìn)行搜索

在Google搜索框中增加一些關(guān)鍵字，例如“Password:.Copyright (C) 2008 Bin -> WwW.RoOTkIt.NeT.Cn”，如圖2所示，出來(lái)的結(jié)果多了不少，一共有7個(gè)搜索記錄。

圖2

3.獲取意外的Webshell的管理密碼

在入侵者的Webshell中，管理密碼就如同房間的鑰匙，只要有它也就可以進(jìn)入房間，在圖2中查看真實(shí)網(wǎng)站地址中以aspx結(jié)尾的地址，然后進(jìn)行查看，如圖3所示，直接打開“http://www.carraigdonn.com/uploadedpics/unpublic.aspx”，獲取該webshell的加密值“9e94b15ed312fa42232fd87a55db0d39”。

圖3

在該加密值后附帶有一個(gè)“//PASS:007”，可以推測(cè)該Webshell的密碼為007，但為了真正獲取該Webshell的密碼，還是到cmd5.com網(wǎng)站進(jìn)行驗(yàn)證，將“9e94b15ed312fa42232fd87a55db0d39”值輸入解密框中，單擊“md5加密或解密”獲取其密碼為“007”，如圖4所示，呵呵，一個(gè)好密碼！

圖4

前面的算是對(duì)上篇文章的一個(gè)復(fù)習(xí)，不會(huì)的朋友可以去嘗試，將目前所有的Webshell的關(guān)鍵特征進(jìn)行收集和整理，通過(guò)本方法一定能夠有所收獲！

#p#

二、安全檢測(cè)之信息獲取

回到本文的正題上來(lái)，通過(guò)前面的一些方法，已經(jīng)知道某網(wǎng)站被入侵后還留了一個(gè)asp.net的后門Webshell，由于沒(méi)有該Webshell的密碼，因此需要通過(guò)其它途徑來(lái)獲取。 1.查詢?cè)撚蛎鳈C(jī)下有無(wú)其它域名主機(jī)打開ip866.com網(wǎng)站，如圖5所示，在輸入框中輸入網(wǎng)站地址www.****.com，然后單擊“點(diǎn)這里反查全部相關(guān)域名”，獲取該域名主機(jī)下的所有綁定域名，我大致看了看有40多個(gè)。

圖5

2.獲取IP地址以及端口開放情況

分別使用“ping www.********.com”以及“sfind -p 219.133.***.***”命令獲取端口信息等信息，如圖6所示，ping命令無(wú)反映，主機(jī)開放了80，21以及1433端口。

圖6

#p#

三、安全檢測(cè)之漏洞檢測(cè)

1.使用工具進(jìn)行漏洞挖掘

 打開Jsky，在其中新建立一個(gè)任務(wù)，然后進(jìn)行掃描，如圖7所示，發(fā)現(xiàn)SQL注入點(diǎn)8個(gè)，跨站漏洞1個(gè)。

圖7

2.進(jìn)行注入猜解

在圖7中中選中一個(gè)SQL注入點(diǎn)，然后選擇使用pangolin進(jìn)行滲透測(cè)試，pangolin程序會(huì)自動(dòng)進(jìn)行猜解，如果存在漏洞，則會(huì)顯示SQL注入點(diǎn)的類型，數(shù)據(jù)庫(kù)，關(guān)鍵字等信息，在圖8所示，我們直接單擊Tables猜解數(shù)據(jù)庫(kù)表，獲取了admin和news表。

圖8

說(shuō)明: 在pangolin中需要自己進(jìn)行一些設(shè)置，可以設(shè)置文字顯示模式，有時(shí)候需要手工設(shè)置SQL注入點(diǎn)的類型（type），以及數(shù)據(jù)庫(kù)等信息。 3猜解管理員表admin中的數(shù)據(jù)選擇admin表中的id、admin_id、admin_name、admin_pass四個(gè)字段，然后單擊pangolin主界面右中方中的“Datas”猜解數(shù)據(jù)，如圖9所示，在最下方顯示整個(gè)表中共2條記錄，在右邊區(qū)域顯示猜解的結(jié)果。管理員密碼非常簡(jiǎn)單，其中一個(gè)管理員用戶名和密碼都是“1”，密碼和用戶名均為進(jìn)行加密。

圖9

4.獲取后臺(tái)地址

在Jsky掃描中發(fā)現(xiàn)存在admin目錄，因此直接在瀏覽器中輸入“http://www.*********.com/admin/”，打開后臺(tái)登陸地址，如圖10所示，后臺(tái)非常簡(jiǎn)潔，沒(méi)有驗(yàn)證碼之類的東東。

圖10

5.進(jìn)入管理后臺(tái)

在圖10中分別輸入管理員名稱和密碼“1”，單擊“登陸”，成功進(jìn)入管理后臺(tái)，如圖11所示，在后臺(tái)中主要有“首頁(yè)/管理中心/退出”、“用戶管理”、“添加信息”和“系統(tǒng)信息”四個(gè)主要管理模塊。

圖11

6.尋找上傳點(diǎn)

在該網(wǎng)站系統(tǒng)中，新聞動(dòng)態(tài)、友情鏈接等添加信息接口中，均存在文件上傳模塊，且未對(duì)文件進(jìn)行過(guò)濾，如圖12所示，可以上傳任何類型的文件，在本次測(cè)試中就直接將aspxspy.aspx文件直接上傳上去。

圖12

7.尋找上傳的Webshell地址

上面選擇是通過(guò)添加友情鏈接將webshell文件上傳上去，到網(wǎng)站找到友情鏈接網(wǎng)頁(yè)，然后直接查看源代碼，如圖13所示，獲取webshell的地址。

圖13

8.執(zhí)行Webshell

成功在網(wǎng)站中輸入Webshell的地址：“http://www.xiaobang.com/ads/20081229233452.aspx”，輸入管理密碼，如圖14所示，webshell可以正常運(yùn)行，單擊“Sysinfo”可以查看系統(tǒng)信息。

圖14

注意：由于前面已經(jīng)有人上傳了aspx的webshell，加上檢測(cè)時(shí)上傳了多個(gè)aspx的webshell，因此抓圖中有些地址可能不完全匹配。

#p#

四、提權(quán)之路

1.獲取數(shù)據(jù)庫(kù)配置文件信息

有Webshell后，獲取數(shù)據(jù)庫(kù)的配置信息就相對(duì)簡(jiǎn)單多了，到網(wǎng)站目錄中去尋找conn.asp、config.asp、inc等，找到后打開該文件查看其源代碼即可獲取數(shù)據(jù)庫(kù)的物理地址或者配置信息，如圖15所示。在aspxspy中有一個(gè)功能特別好用，那就是iisspy，使用它可以獲取該主機(jī)下所有的站點(diǎn)目錄等信息。

圖15

2.下載網(wǎng)站數(shù)據(jù)庫(kù)

如圖16所示找到數(shù)據(jù)庫(kù)的物理路徑，然后單擊“down”即可進(jìn)行下載，在圖16中可以看到系統(tǒng)已經(jīng)對(duì)數(shù)據(jù)庫(kù)采取了一些安全措施，比如設(shè)置了一個(gè)比較難以猜測(cè)的名稱，但當(dāng)我們獲取Webshell后，設(shè)置再?gòu)?fù)雜的名稱也是無(wú)用了！

圖16

3.執(zhí)行命令

在aspxspy中命令執(zhí)行不太好用，換一個(gè)功能更強(qiáng)大的aspx類型的木馬，如圖17所示，可以執(zhí)行“net user”、“net localgroup administrators”、“ipconfig /all”、“netstat-an”等命令來(lái)查看用戶、管理員組、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)連接情況等信息，但不能執(zhí)行添加用戶等提升權(quán)限操作，一執(zhí)行就報(bào)錯(cuò)，如圖18所示。

圖17

圖18

4.讀取注冊(cè)表信息

通過(guò)分析，發(fā)現(xiàn)該服務(wù)器安裝了Radmin軟件，且管理員修改了radmin的默認(rèn)管理端口4899，如果能夠獲取radmin的口令加密值，也可以直接提升權(quán)限，單擊“Regshell”，在“Key”中輸入Radmin2.x版本的口令值保存鍵值“HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters”，然后單擊“Read”讀取，如圖18所示，未能成功讀取，后面使用其它Webshell的注冊(cè)表讀取，還是未成功，說(shuō)明權(quán)限不夠。

圖19

5.使用asp的webshell來(lái)提升權(quán)限

在有些情況下，aspx的webshell不好使，但asp的webshell執(zhí)行效果比較好，如圖20所示，上傳一個(gè)asp的webshell，然后分別查看serv-u和PcAnyWhere，系統(tǒng)使用了PcAnyWhere進(jìn)行遠(yuǎn)程管理。將其配置文件CIF下載到本地。

圖20

6.獲取PcanyWhere的密碼

使用“Symantec PcanyWhere Password Crack”軟件直接破解剛才獲取的CIF配置文件，如圖21所示，順利的讀出PcanyWhere遠(yuǎn)程連接的用戶名和密碼，后面我安裝了Symantec PcanyWhere，通過(guò)它來(lái)連接該服務(wù)器，連接成功后需要用戶名和密碼才能進(jìn)行完全控制。

圖21

#p#

五、總結(jié)與體會(huì)

本次安全檢測(cè)來(lái)自于上次上篇文章，本次僅僅為安全檢測(cè)，安全檢測(cè)發(fā)現(xiàn)了漏洞，驗(yàn)證了上篇文章中的思路，成功獲取了Webshell，且在一定幾率下還可以完全控制該服務(wù)器（等待管理員進(jìn)入系統(tǒng)后，未鎖定屏幕的過(guò)程中，通過(guò)PcanyWhere來(lái)實(shí)施遠(yuǎn)程控制），在本次檢測(cè)過(guò)程中有以下一些收獲和體會(huì)： 1．在網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)過(guò)程中豐富了安全滲透和檢測(cè)實(shí)踐經(jīng)驗(yàn)。本次檢測(cè)熟悉了aspxspy這個(gè)功能強(qiáng)大的asp.net的webshell，該webshell最大的優(yōu)點(diǎn)是在獲取某一個(gè)Webshell后可以通過(guò)它來(lái)下載其它綁定域名站點(diǎn)的數(shù)據(jù)庫(kù)。 2.加深對(duì)站點(diǎn)安全防護(hù)的認(rèn)識(shí)。在本次檢測(cè)中我可以明顯的感覺(jué)到該主機(jī)系統(tǒng)進(jìn)行了一些安全防護(hù)，除了PcanyWhere程序權(quán)限設(shè)置不嚴(yán)格外，其它部分的權(quán)限設(shè)置的還可以。即使入侵者拿到了Webshell也無(wú)法控制服務(wù)器，雖然以犧牲用戶資料為代價(jià)。 3.安全重在實(shí)踐和基礎(chǔ)技術(shù)的研究。我一直都認(rèn)為安全技術(shù)是一個(gè)長(zhǎng)期積累的過(guò)程，只有不斷的進(jìn)行技術(shù)研究，技術(shù)積累，才能提高自己，通過(guò)這次研究，將促使我們更加注重技術(shù)的研究和研發(fā)！本文僅僅是筆者的一點(diǎn)鄙見(jiàn)，不到之處請(qǐng)指正，有任何問(wèn)題，可以到我們的論壇（http://www.antian365.com/bbs）進(jìn)行討論，我的論壇昵稱是simeon。

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】

【編輯推薦】

1. 對(duì)某戶外旅游網(wǎng)站的一次安全檢測(cè)
2. 對(duì)某貿(mào)易公司內(nèi)網(wǎng)的一次安全檢測(cè)
3. 對(duì)某軟件公司的一次安全檢測(cè)