【.com 獨家特稿】筆者在《從Webshell到肉雞》的一文中提到了如何通過Webshell的特征關(guān)鍵字來獲取Webshell��,同時提到了三種真正能夠獲得該Webshell的方法��,本文是對上文的一個補(bǔ)充�,也即當(dāng)我們找到一個需要密碼驗證的Webshell時�����,從網(wǎng)絡(luò)攻防的角度����,應(yīng)該如何來處理問題。由于本次檢測未能聯(lián)系到官方負(fù)責(zé)人��,因此主要從安全檢測的角度進(jìn)行分析���。
為共和等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)���,及共和網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為成都網(wǎng)站制作��、網(wǎng)站設(shè)計、外貿(mào)網(wǎng)站建設(shè)�����、共和網(wǎng)站設(shè)計����,以傳統(tǒng)方式定制建設(shè)網(wǎng)站,并提供域名空間備案等一條龍服務(wù)�����,秉承以專業(yè)����、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求���,就會得到認(rèn)可��,從而選擇與我們長期合作����。這樣��,我們也可以走得更遠(yuǎn)!
一��、獲取Webshell信息
1.使用Google再次進(jìn)行關(guān)鍵字搜索
直接打開Google搜索頁面�,在其中輸入關(guān)鍵字“Copyright (C) 2008 Bin -> WwW.RoOTkIt.NeT.Cn”��,然后單擊“Google搜索”���,如圖1所示����,出現(xiàn)兩個搜索結(jié)果��。
2.增加特征關(guān)鍵詞范圍進(jìn)行搜索
在Google搜索框中增加一些關(guān)鍵字�����,例如“Password:.Copyright (C) 2008 Bin -> WwW.RoOTkIt.NeT.Cn”��,如圖2所示���,出來的結(jié)果多了不少���,一共有7個搜索記錄。
3.獲取意外的Webshell的管理密碼
在入侵者的Webshell中,管理密碼就如同房間的鑰匙����,只要有它也就可以進(jìn)入房間,在圖2中查看真實網(wǎng)站地址中以aspx結(jié)尾的地址���,然后進(jìn)行查看���,如圖3所示,直接打開“http://www.carraigdonn.com/uploadedpics/unpublic.aspx”�����,獲取該webshell的加密值“9e94b15ed312fa42232fd87a55db0d39”����。
在該加密值后附帶有一個“//PASS:007”,可以推測該Webshell的密碼為007�����,但為了真正獲取該Webshell的密碼���,還是到cmd5.com網(wǎng)站進(jìn)行驗證�,將“9e94b15ed312fa42232fd87a55db0d39”值輸入解密框中,單擊“md5加密或解密”獲取其密碼為“007”���,如圖4所示����,呵呵�����,一個好密碼����!
前面的算是對上篇文章的一個復(fù)習(xí)��,不會的朋友可以去嘗試���,將目前所有的Webshell的關(guān)鍵特征進(jìn)行收集和整理����,通過本方法一定能夠有所收獲��!
#p#
二�����、安全檢測之信息獲取
回到本文的正題上來,通過前面的一些方法���,已經(jīng)知道某網(wǎng)站被入侵后還留了一個asp.net的后門Webshell�,由于沒有該Webshell的密碼��,因此需要通過其它途徑來獲取���。 1.查詢該域名主機(jī)下有無其它域名主機(jī)打開ip866.com網(wǎng)站�,如圖5所示�,在輸入框中輸入網(wǎng)站地址www.****.com,然后單擊“點這里反查全部相關(guān)域名”�,獲取該域名主機(jī)下的所有綁定域名,我大致看了看有40多個�����。
2.獲取IP地址以及端口開放情況
分別使用“ping www.********.com”以及“sfind -p 219.133.***.***”命令獲取端口信息等信息��,如圖6所示���,ping命令無反映�����,主機(jī)開放了80�����,21以及1433端口��。
#p#
三�、安全檢測之漏洞檢測
1.使用工具進(jìn)行漏洞挖掘
打開Jsky���,在其中新建立一個任務(wù)���,然后進(jìn)行掃描,如圖7所示��,發(fā)現(xiàn)SQL注入點8個�,跨站漏洞1個。
2.進(jìn)行注入猜解
在圖7中中選中一個SQL注入點�����,然后選擇使用pangolin進(jìn)行滲透測試��,pangolin程序會自動進(jìn)行猜解,如果存在漏洞���,則會顯示SQL注入點的類型�,數(shù)據(jù)庫����,關(guān)鍵字等信息,在圖8所示��,我們直接單擊Tables猜解數(shù)據(jù)庫表��,獲取了admin和news表�。
說明: 在pangolin中需要自己進(jìn)行一些設(shè)置,可以設(shè)置文字顯示模式�,有時候需要手工設(shè)置SQL注入點的類型(type),以及數(shù)據(jù)庫等信息����。 3猜解管理員表admin中的數(shù)據(jù)選擇admin表中的id、admin_id����、admin_name、admin_pass四個字段�����,然后單擊pangolin主界面右中方中的“Datas”猜解數(shù)據(jù),如圖9所示�,在最下方顯示整個表中共2條記錄,在右邊區(qū)域顯示猜解的結(jié)果�。管理員密碼非常簡單,其中一個管理員用戶名和密碼都是“1”�,密碼和用戶名均為進(jìn)行加密。
4.獲取后臺地址
在Jsky掃描中發(fā)現(xiàn)存在admin目錄��,因此直接在瀏覽器中輸入“http://www.*********.com/admin/”�,打開后臺登陸地址,如圖10所示����,后臺非常簡潔���,沒有驗證碼之類的東東�����。
5.進(jìn)入管理后臺
在圖10中分別輸入管理員名稱和密碼“1”��,單擊“登陸”����,成功進(jìn)入管理后臺,如圖11所示��,在后臺中主要有“首頁/管理中心/退出”���、“用戶管理”����、“添加信息”和“系統(tǒng)信息”四個主要管理模塊�。
6.尋找上傳點
在該網(wǎng)站系統(tǒng)中,新聞動態(tài)�、友情鏈接等添加信息接口中,均存在文件上傳模塊����,且未對文件進(jìn)行過濾,如圖12所示����,可以上傳任何類型的文件,在本次測試中就直接將aspxspy.aspx文件直接上傳上去�����。
7.尋找上傳的Webshell地址
上面選擇是通過添加友情鏈接將webshell文件上傳上去,到網(wǎng)站找到友情鏈接網(wǎng)頁����,然后直接查看源代碼,如圖13所示�,獲取webshell的地址。
8.執(zhí)行Webshell
成功在網(wǎng)站中輸入Webshell的地址:“http://www.xiaobang.com/ads/20081229233452.aspx”���,輸入管理密碼�,如圖14所示�����,webshell可以正常運(yùn)行�,單擊“Sysinfo”可以查看系統(tǒng)信息。
注意:由于前面已經(jīng)有人上傳了aspx的webshell��,加上檢測時上傳了多個aspx的webshell�,因此抓圖中有些地址可能不完全匹配��。
#p#
四����、提權(quán)之路
1.獲取數(shù)據(jù)庫配置文件信息
有Webshell后�����,獲取數(shù)據(jù)庫的配置信息就相對簡單多了��,到網(wǎng)站目錄中去尋找conn.asp����、config.asp�����、inc等�����,找到后打開該文件查看其源代碼即可獲取數(shù)據(jù)庫的物理地址或者配置信息����,如圖15所示。在aspxspy中有一個功能特別好用���,那就是iisspy�,使用它可以獲取該主機(jī)下所有的站點目錄等信息。
2.下載網(wǎng)站數(shù)據(jù)庫
如圖16所示找到數(shù)據(jù)庫的物理路徑��,然后單擊“down”即可進(jìn)行下載��,在圖16中可以看到系統(tǒng)已經(jīng)對數(shù)據(jù)庫采取了一些安全措施���,比如設(shè)置了一個比較難以猜測的名稱�����,但當(dāng)我們獲取Webshell后����,設(shè)置再復(fù)雜的名稱也是無用了��!
3.執(zhí)行命令
在aspxspy中命令執(zhí)行不太好用�,換一個功能更強(qiáng)大的aspx類型的木馬,如圖17所示����,可以執(zhí)行“net user”、“net localgroup administrators”��、“ipconfig /all”��、“netstat-an”等命令來查看用戶��、管理員組�、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)連接情況等信息��,但不能執(zhí)行添加用戶等提升權(quán)限操作����,一執(zhí)行就報錯,如圖18所示�。
4.讀取注冊表信息
通過分析,發(fā)現(xiàn)該服務(wù)器安裝了Radmin軟件�,且管理員修改了radmin的默認(rèn)管理端口4899,如果能夠獲取radmin的口令加密值����,也可以直接提升權(quán)限,單擊“Regshell”����,在“Key”中輸入Radmin2.x版本的口令值保存鍵值“HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters”,然后單擊“Read”讀取�����,如圖18所示,未能成功讀取����,后面使用其它Webshell的注冊表讀取,還是未成功�����,說明權(quán)限不夠�。
5.使用asp的webshell來提升權(quán)限
在有些情況下,aspx的webshell不好使��,但asp的webshell執(zhí)行效果比較好����,如圖20所示,上傳一個asp的webshell����,然后分別查看serv-u和PcAnyWhere,系統(tǒng)使用了PcAnyWhere進(jìn)行遠(yuǎn)程管理����。將其配置文件CIF下載到本地。
6.獲取PcanyWhere的密碼
使用“Symantec PcanyWhere Password Crack”軟件直接破解剛才獲取的CIF配置文件�����,如圖21所示�����,順利的讀出PcanyWhere遠(yuǎn)程連接的用戶名和密碼��,后面我安裝了Symantec PcanyWhere��,通過它來連接該服務(wù)器����,連接成功后需要用戶名和密碼才能進(jìn)行完全控制。
#p#
五�����、總結(jié)與體會
本次安全檢測來自于上次上篇文章���,本次僅僅為安全檢測�����,安全檢測發(fā)現(xiàn)了漏洞���,驗證了上篇文章中的思路�,成功獲取了Webshell���,且在一定幾率下還可以完全控制該服務(wù)器(等待管理員進(jìn)入系統(tǒng)后�����,未鎖定屏幕的過程中�����,通過PcanyWhere來實施遠(yuǎn)程控制)����,在本次檢測過程中有以下一些收獲和體會: 1.在網(wǎng)絡(luò)安全攻防實戰(zhàn)過程中豐富了安全滲透和檢測實踐經(jīng)驗��。本次檢測熟悉了aspxspy這個功能強(qiáng)大的asp.net的webshell�����,該webshell最大的優(yōu)點是在獲取某一個Webshell后可以通過它來下載其它綁定域名站點的數(shù)據(jù)庫�。 2.加深對站點安全防護(hù)的認(rèn)識。在本次檢測中我可以明顯的感覺到該主機(jī)系統(tǒng)進(jìn)行了一些安全防護(hù)�,除了PcanyWhere程序權(quán)限設(shè)置不嚴(yán)格外��,其它部分的權(quán)限設(shè)置的還可以���。即使入侵者拿到了Webshell也無法控制服務(wù)器,雖然以犧牲用戶資料為代價�。 3.安全重在實踐和基礎(chǔ)技術(shù)的研究�����。我一直都認(rèn)為安全技術(shù)是一個長期積累的過程���,只有不斷的進(jìn)行技術(shù)研究�,技術(shù)積累��,才能提高自己��,通過這次研究���,將促使我們更加注重技術(shù)的研究和研發(fā)��!本文僅僅是筆者的一點鄙見���,不到之處請指正��,有任何問題�,可以到我們的論壇(http://www.antian365.com/bbs)進(jìn)行討論����,我的論壇昵稱是simeon。
【.COM 獨家特稿�����,轉(zhuǎn)載請注明出處及作者��!】
本文題目:對某音樂網(wǎng)站的一次安全檢測
瀏覽路徑:
http://uogjgqi.cn/article/cciicos.html
