【51CTO.com 獨家特稿】筆者在《從Webshell到肉雞》的一文中提到了如何通過Webshell的特征關(guān)鍵字來獲取Webshell，同時提到了三種真正能夠獲得該Webshell的方法，本文是對上文的一個補充，也即當我們找到一個需要密碼驗證的Webshell時，從網(wǎng)絡(luò)攻防的角度，應(yīng)該如何來處理問題。由于本次檢測未能聯(lián)系到官方負責(zé)人，因此主要從安全檢測的角度進行分析。

一、獲取Webshell信息

1.使用Google再次進行關(guān)鍵字搜索

直接打開Google搜索頁面，在其中輸入關(guān)鍵字“Copyright (C) 2008 Bin -> WwW.RoOTkIt.NeT.Cn”，然后單擊“Google搜索”，如圖1所示，出現(xiàn)兩個搜索結(jié)果。

圖1

2.增加特征關(guān)鍵詞范圍進行搜索

在Google搜索框中增加一些關(guān)鍵字，例如“Password:.Copyright (C) 2008 Bin -> WwW.RoOTkIt.NeT.Cn”，如圖2所示，出來的結(jié)果多了不少，一共有7個搜索記錄。

圖2

3.獲取意外的Webshell的管理密碼

在入侵者的Webshell中，管理密碼就如同房間的鑰匙，只要有它也就可以進入房間，在圖2中查看真實網(wǎng)站地址中以aspx結(jié)尾的地址，然后進行查看，如圖3所示，直接打開“http://www.carraigdonn.com/uploadedpics/unpublic.aspx”，獲取該webshell的加密值“9e94b15ed312fa42232fd87a55db0d39”。

圖3

在該加密值后附帶有一個“//PASS:007”，可以推測該Webshell的密碼為007，但為了真正獲取該Webshell的密碼，還是到cmd5.com網(wǎng)站進行驗證，將“9e94b15ed312fa42232fd87a55db0d39”值輸入解密框中，單擊“md5加密或解密”獲取其密碼為“007”，如圖4所示，呵呵，一個好密碼！

圖4

前面的算是對上篇文章的一個復(fù)習(xí)，不會的朋友可以去嘗試，將目前所有的Webshell的關(guān)鍵特征進行收集和整理，通過本方法一定能夠有所收獲！

#p#

二、安全檢測之信息獲取

回到本文的正題上來，通過前面的一些方法，已經(jīng)知道某網(wǎng)站被入侵后還留了一個asp.net的后門Webshell，由于沒有該Webshell的密碼，因此需要通過其它途徑來獲取。 1.查詢該域名主機下有無其它域名主機打開ip866.com網(wǎng)站，如圖5所示，在輸入框中輸入網(wǎng)站地址www.****.com，然后單擊“點這里反查全部相關(guān)域名”，獲取該域名主機下的所有綁定域名，我大致看了看有40多個。

圖5

2.獲取IP地址以及端口開放情況

分別使用“ping www.********.com”以及“sfind -p 219.133.***.***”命令獲取端口信息等信息，如圖6所示，ping命令無反映，主機開放了80，21以及1433端口。

圖6

#p#

三、安全檢測之漏洞檢測

1.使用工具進行漏洞挖掘

 打開Jsky，在其中新建立一個任務(wù)，然后進行掃描，如圖7所示，發(fā)現(xiàn)SQL注入點8個，跨站漏洞1個。

圖7

2.進行注入猜解

在圖7中中選中一個SQL注入點，然后選擇使用pangolin進行滲透測試，pangolin程序會自動進行猜解，如果存在漏洞，則會顯示SQL注入點的類型，數(shù)據(jù)庫，關(guān)鍵字等信息，在圖8所示，我們直接單擊Tables猜解數(shù)據(jù)庫表，獲取了admin和news表。

圖8

說明: 在pangolin中需要自己進行一些設(shè)置，可以設(shè)置文字顯示模式，有時候需要手工設(shè)置SQL注入點的類型（type），以及數(shù)據(jù)庫等信息。 3猜解管理員表admin中的數(shù)據(jù)選擇admin表中的id、admin_id、admin_name、admin_pass四個字段，然后單擊pangolin主界面右中方中的“Datas”猜解數(shù)據(jù)，如圖9所示，在最下方顯示整個表中共2條記錄，在右邊區(qū)域顯示猜解的結(jié)果。管理員密碼非常簡單，其中一個管理員用戶名和密碼都是“1”，密碼和用戶名均為進行加密。

圖9

4.獲取后臺地址

在Jsky掃描中發(fā)現(xiàn)存在admin目錄，因此直接在瀏覽器中輸入“http://www.*********.com/admin/”，打開后臺登陸地址，如圖10所示，后臺非常簡潔，沒有驗證碼之類的東東。

圖10

5.進入管理后臺

在圖10中分別輸入管理員名稱和密碼“1”，單擊“登陸”，成功進入管理后臺，如圖11所示，在后臺中主要有“首頁/管理中心/退出”、“用戶管理”、“添加信息”和“系統(tǒng)信息”四個主要管理模塊。

圖11

6.尋找上傳點

在該網(wǎng)站系統(tǒng)中，新聞動態(tài)、友情鏈接等添加信息接口中，均存在文件上傳模塊，且未對文件進行過濾，如圖12所示，可以上傳任何類型的文件，在本次測試中就直接將aspxspy.aspx文件直接上傳上去。

圖12

7.尋找上傳的Webshell地址

上面選擇是通過添加友情鏈接將webshell文件上傳上去，到網(wǎng)站找到友情鏈接網(wǎng)頁，然后直接查看源代碼，如圖13所示，獲取webshell的地址。

圖13

8.執(zhí)行Webshell

成功在網(wǎng)站中輸入Webshell的地址：“http://www.xiaobang.com/ads/20081229233452.aspx”，輸入管理密碼，如圖14所示，webshell可以正常運行，單擊“Sysinfo”可以查看系統(tǒng)信息。

圖14

注意：由于前面已經(jīng)有人上傳了aspx的webshell，加上檢測時上傳了多個aspx的webshell，因此抓圖中有些地址可能不完全匹配。

#p#

四、提權(quán)之路

1.獲取數(shù)據(jù)庫配置文件信息

有Webshell后，獲取數(shù)據(jù)庫的配置信息就相對簡單多了，到網(wǎng)站目錄中去尋找conn.asp、config.asp、inc等，找到后打開該文件查看其源代碼即可獲取數(shù)據(jù)庫的物理地址或者配置信息，如圖15所示。在aspxspy中有一個功能特別好用，那就是iisspy，使用它可以獲取該主機下所有的站點目錄等信息。

圖15

2.下載網(wǎng)站數(shù)據(jù)庫

如圖16所示找到數(shù)據(jù)庫的物理路徑，然后單擊“down”即可進行下載，在圖16中可以看到系統(tǒng)已經(jīng)對數(shù)據(jù)庫采取了一些安全措施，比如設(shè)置了一個比較難以猜測的名稱，但當我們獲取Webshell后，設(shè)置再復(fù)雜的名稱也是無用了！

圖16

3.執(zhí)行命令

在aspxspy中命令執(zhí)行不太好用，換一個功能更強大的aspx類型的木馬，如圖17所示，可以執(zhí)行“net user”、“net localgroup administrators”、“ipconfig /all”、“netstat-an”等命令來查看用戶、管理員組、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)連接情況等信息，但不能執(zhí)行添加用戶等提升權(quán)限操作，一執(zhí)行就報錯，如圖18所示。

圖17

圖18

4.讀取注冊表信息

通過分析，發(fā)現(xiàn)該服務(wù)器安裝了Radmin軟件，且管理員修改了radmin的默認管理端口4899，如果能夠獲取radmin的口令加密值，也可以直接提升權(quán)限，單擊“Regshell”，在“Key”中輸入Radmin2.x版本的口令值保存鍵值“HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters”，然后單擊“Read”讀取，如圖18所示，未能成功讀取，后面使用其它Webshell的注冊表讀取，還是未成功，說明權(quán)限不夠。

圖19

5.使用asp的webshell來提升權(quán)限

在有些情況下，aspx的webshell不好使，但asp的webshell執(zhí)行效果比較好，如圖20所示，上傳一個asp的webshell，然后分別查看serv-u和PcAnyWhere，系統(tǒng)使用了PcAnyWhere進行遠程管理。將其配置文件CIF下載到本地。

圖20

6.獲取PcanyWhere的密碼

使用“Symantec PcanyWhere Password Crack”軟件直接破解剛才獲取的CIF配置文件，如圖21所示，順利的讀出PcanyWhere遠程連接的用戶名和密碼，后面我安裝了Symantec PcanyWhere，通過它來連接該服務(wù)器，連接成功后需要用戶名和密碼才能進行完全控制。

圖21

#p#

五、總結(jié)與體會

本次安全檢測來自于上次上篇文章，本次僅僅為安全檢測，安全檢測發(fā)現(xiàn)了漏洞，驗證了上篇文章中的思路，成功獲取了Webshell，且在一定幾率下還可以完全控制該服務(wù)器（等待管理員進入系統(tǒng)后，未鎖定屏幕的過程中，通過PcanyWhere來實施遠程控制），在本次檢測過程中有以下一些收獲和體會： 1．在網(wǎng)絡(luò)安全攻防實戰(zhàn)過程中豐富了安全滲透和檢測實踐經(jīng)驗。本次檢測熟悉了aspxspy這個功能強大的asp.net的webshell，該webshell最大的優(yōu)點是在獲取某一個Webshell后可以通過它來下載其它綁定域名站點的數(shù)據(jù)庫。 2.加深對站點安全防護的認識。在本次檢測中我可以明顯的感覺到該主機系統(tǒng)進行了一些安全防護，除了PcanyWhere程序權(quán)限設(shè)置不嚴格外，其它部分的權(quán)限設(shè)置的還可以。即使入侵者拿到了Webshell也無法控制服務(wù)器，雖然以犧牲用戶資料為代價。 3.安全重在實踐和基礎(chǔ)技術(shù)的研究。我一直都認為安全技術(shù)是一個長期積累的過程，只有不斷的進行技術(shù)研究，技術(shù)積累，才能提高自己，通過這次研究，將促使我們更加注重技術(shù)的研究和研發(fā)！本文僅僅是筆者的一點鄙見，不到之處請指正，有任何問題，可以到我們的論壇（http://www.antian365.com/bbs）進行討論，我的論壇昵稱是simeon。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. 對某戶外旅游網(wǎng)站的一次安全檢測
2. 對某貿(mào)易公司內(nèi)網(wǎng)的一次安全檢測
3. 對某軟件公司的一次安全檢測