【51CTO.com 獨家特稿】筆者在《從Webshell到肉雞》的一文中提到了如何通過Webshell的特征關鍵字來獲取Webshell，同時提到了三種真正能夠獲得該Webshell的方法，本文是對上文的一個補充，也即當我們找到一個需要密碼驗證的Webshell時，從網絡攻防的角度，應該如何來處理問題。由于本次檢測未能聯系到官方負責人，因此主要從安全檢測的角度進行分析。

一、獲取Webshell信息

1.使用Google再次進行關鍵字搜索

直接打開Google搜索頁面，在其中輸入關鍵字“Copyright (C) 2008 Bin -> WwW.RoOTkIt.NeT.Cn”，然后單擊“Google搜索”，如圖1所示，出現兩個搜索結果。

圖1

2.增加特征關鍵詞范圍進行搜索

在Google搜索框中增加一些關鍵字，例如“Password:.Copyright (C) 2008 Bin -> WwW.RoOTkIt.NeT.Cn”，如圖2所示，出來的結果多了不少，一共有7個搜索記錄。

圖2

3.獲取意外的Webshell的管理密碼

在入侵者的Webshell中，管理密碼就如同房間的鑰匙，只要有它也就可以進入房間，在圖2中查看真實網站地址中以aspx結尾的地址，然后進行查看，如圖3所示，直接打開“http://www.carraigdonn.com/uploadedpics/unpublic.aspx”，獲取該webshell的加密值“9e94b15ed312fa42232fd87a55db0d39”。

圖3

在該加密值后附帶有一個“//PASS:007”，可以推測該Webshell的密碼為007，但為了真正獲取該Webshell的密碼，還是到cmd5.com網站進行驗證，將“9e94b15ed312fa42232fd87a55db0d39”值輸入解密框中，單擊“md5加密或解密”獲取其密碼為“007”，如圖4所示，呵呵，一個好密碼！

圖4

前面的算是對上篇文章的一個復習，不會的朋友可以去嘗試，將目前所有的Webshell的關鍵特征進行收集和整理，通過本方法一定能夠有所收獲！

#p#

二、安全檢測之信息獲取

回到本文的正題上來，通過前面的一些方法，已經知道某網站被入侵后還留了一個asp.net的后門Webshell，由于沒有該Webshell的密碼，因此需要通過其它途徑來獲取。 1.查詢該域名主機下有無其它域名主機打開ip866.com網站，如圖5所示，在輸入框中輸入網站地址www.****.com，然后單擊“點這里反查全部相關域名”，獲取該域名主機下的所有綁定域名，我大致看了看有40多個。

圖5

2.獲取IP地址以及端口開放情況

分別使用“ping www.********.com”以及“sfind -p 219.133.***.***”命令獲取端口信息等信息，如圖6所示，ping命令無反映，主機開放了80，21以及1433端口。

圖6

#p#

三、安全檢測之漏洞檢測

1.使用工具進行漏洞挖掘

 打開Jsky，在其中新建立一個任務，然后進行掃描，如圖7所示，發現SQL注入點8個，跨站漏洞1個。

圖7

2.進行注入猜解

在圖7中中選中一個SQL注入點，然后選擇使用pangolin進行滲透測試，pangolin程序會自動進行猜解，如果存在漏洞，則會顯示SQL注入點的類型，數據庫，關鍵字等信息，在圖8所示，我們直接單擊Tables猜解數據庫表，獲取了admin和news表。

圖8

說明: 在pangolin中需要自己進行一些設置，可以設置文字顯示模式，有時候需要手工設置SQL注入點的類型（type），以及數據庫等信息。 3猜解管理員表admin中的數據選擇admin表中的id、admin_id、admin_name、admin_pass四個字段，然后單擊pangolin主界面右中方中的“Datas”猜解數據，如圖9所示，在最下方顯示整個表中共2條記錄，在右邊區域顯示猜解的結果。管理員密碼非常簡單，其中一個管理員用戶名和密碼都是“1”，密碼和用戶名均為進行加密。

圖9

4.獲取后臺地址

在Jsky掃描中發現存在admin目錄，因此直接在瀏覽器中輸入“http://www.*********.com/admin/”，打開后臺登陸地址，如圖10所示，后臺非常簡潔，沒有驗證碼之類的東東。

圖10

5.進入管理后臺

在圖10中分別輸入管理員名稱和密碼“1”，單擊“登陸”，成功進入管理后臺，如圖11所示，在后臺中主要有“首頁/管理中心/退出”、“用戶管理”、“添加信息”和“系統信息”四個主要管理模塊。

圖11

6.尋找上傳點

在該網站系統中，新聞動態、友情鏈接等添加信息接口中，均存在文件上傳模塊，且未對文件進行過濾，如圖12所示，可以上傳任何類型的文件，在本次測試中就直接將aspxspy.aspx文件直接上傳上去。

圖12

7.尋找上傳的Webshell地址

上面選擇是通過添加友情鏈接將webshell文件上傳上去，到網站找到友情鏈接網頁，然后直接查看源代碼，如圖13所示，獲取webshell的地址。

圖13

8.執行Webshell

成功在網站中輸入Webshell的地址：“http://www.xiaobang.com/ads/20081229233452.aspx”，輸入管理密碼，如圖14所示，webshell可以正常運行，單擊“Sysinfo”可以查看系統信息。

圖14

注意：由于前面已經有人上傳了aspx的webshell，加上檢測時上傳了多個aspx的webshell，因此抓圖中有些地址可能不完全匹配。

#p#

四、提權之路

1.獲取數據庫配置文件信息

有Webshell后，獲取數據庫的配置信息就相對簡單多了，到網站目錄中去尋找conn.asp、config.asp、inc等，找到后打開該文件查看其源代碼即可獲取數據庫的物理地址或者配置信息，如圖15所示。在aspxspy中有一個功能特別好用，那就是iisspy，使用它可以獲取該主機下所有的站點目錄等信息。

圖15

2.下載網站數據庫

如圖16所示找到數據庫的物理路徑，然后單擊“down”即可進行下載，在圖16中可以看到系統已經對數據庫采取了一些安全措施，比如設置了一個比較難以猜測的名稱，但當我們獲取Webshell后，設置再復雜的名稱也是無用了！

圖16

3.執行命令

在aspxspy中命令執行不太好用，換一個功能更強大的aspx類型的木馬，如圖17所示，可以執行“net user”、“net localgroup administrators”、“ipconfig /all”、“netstat-an”等命令來查看用戶、管理員組、網絡配置、網絡連接情況等信息，但不能執行添加用戶等提升權限操作，一執行就報錯，如圖18所示。

圖17

圖18

4.讀取注冊表信息

通過分析，發現該服務器安裝了Radmin軟件，且管理員修改了radmin的默認管理端口4899，如果能夠獲取radmin的口令加密值，也可以直接提升權限，單擊“Regshell”，在“Key”中輸入Radmin2.x版本的口令值保存鍵值“HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters”，然后單擊“Read”讀取，如圖18所示，未能成功讀取，后面使用其它Webshell的注冊表讀取，還是未成功，說明權限不夠。

圖19

5.使用asp的webshell來提升權限

在有些情況下，aspx的webshell不好使，但asp的webshell執行效果比較好，如圖20所示，上傳一個asp的webshell，然后分別查看serv-u和PcAnyWhere，系統使用了PcAnyWhere進行遠程管理。將其配置文件CIF下載到本地。

圖20

6.獲取PcanyWhere的密碼

使用“Symantec PcanyWhere Password Crack”軟件直接破解剛才獲取的CIF配置文件，如圖21所示，順利的讀出PcanyWhere遠程連接的用戶名和密碼，后面我安裝了Symantec PcanyWhere，通過它來連接該服務器，連接成功后需要用戶名和密碼才能進行完全控制。

圖21

#p#

五、總結與體會

本次安全檢測來自于上次上篇文章，本次僅僅為安全檢測，安全檢測發現了漏洞，驗證了上篇文章中的思路，成功獲取了Webshell，且在一定幾率下還可以完全控制該服務器（等待管理員進入系統后，未鎖定屏幕的過程中，通過PcanyWhere來實施遠程控制），在本次檢測過程中有以下一些收獲和體會： 1．在網絡安全攻防實戰過程中豐富了安全滲透和檢測實踐經驗。本次檢測熟悉了aspxspy這個功能強大的asp.net的webshell，該webshell最大的優點是在獲取某一個Webshell后可以通過它來下載其它綁定域名站點的數據庫。 2.加深對站點安全防護的認識。在本次檢測中我可以明顯的感覺到該主機系統進行了一些安全防護，除了PcanyWhere程序權限設置不嚴格外，其它部分的權限設置的還可以。即使入侵者拿到了Webshell也無法控制服務器，雖然以犧牲用戶資料為代價。 3.安全重在實踐和基礎技術的研究。我一直都認為安全技術是一個長期積累的過程，只有不斷的進行技術研究，技術積累，才能提高自己，通過這次研究，將促使我們更加注重技術的研究和研發！本文僅僅是筆者的一點鄙見，不到之處請指正，有任何問題，可以到我們的論壇（http://www.antian365.com/bbs）進行討論，我的論壇昵稱是simeon。

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】

【編輯推薦】

1. 對某戶外旅游網站的一次安全檢測
2. 對某貿易公司內網的一次安全檢測
3. 對某軟件公司的一次安全檢測