从Webshell到肉鸡51CTO博客 - 牛牛娱乐

从Webshell到肉鸡51CTO博客

2019年02月22日09时29分21秒 | 作者: 熙熙 | 标签: 网站,如图所示,次数 | 浏览: 1390

从Webshell到肉鸡
S.S.F simeon
   我一向都在着重一个东西,在网络***中最重要的就是思想,本文的创意来自于安天365团队的一个篇稿件,在稿件中提到了一个AspxSpy的Asp.net类型后门软件,在安全界中最近一向盛行后门中的后门,即经过给出一个包括后门的Webshell程序,很多小黑们在外面吭哧吭哧的干活,而给出后门的老板,却在后边偷着数Webshell,这种后门中的后门一般来说有二种类型,一种就是直接挂马,带来直接的收益;别的一种就是将小黑霸占下的Webshell地址、用户名和暗码悉数给发回,换种说法就是,小黑操控的服务器,也就是我的服务器。本文也就是受这个启示而翻开研讨的,经过研讨发现,运用该办法还能够取得不少的后门,有的还能够直接操控服务器。
(一)初识AspxSpy
    AspxSpy出来已经有很长时刻,该程序作者是2008-02-02发布的,呵呵,很早就见过该程序,但一向没有时刻去用它。
1.AspxSpy简介
AspxSpy 是网友Bin写的一款后门工具软件,能够到[url]http://www.xfocus.net/tools/200802/1247.html[/url]或许[url]http://www.rootkit.net.cn/article.asp?id=57[/url]下载其源代码,关于工具软件我一般都喜爱到原作者哪里去下载,这样要相对安全一些,避免经过二道贩子之手,添加不安全要素。其主要特征和功用如下:
(1)开发环境VS2005 + C#,兼容FrameWork1.1/2.0,根本完结代码别离;
(2)暗码为32位MD5加密(小写) 默以为 admin;
(3)选用POST办法提交数据,增强了隐蔽性;
(4)添加了IIS勘探功用,遍历IIS站点信息;
(5)增强了对文件特点的修正;
(6)在SQLTools中添加了,SA权限履行体系指令功用,SQL_DIR 功用,能够直接备份log/database,到指定目录文件名为bin.asp   Shell 为<%execute request("B")%>;
(7)添加了 Serv-u 提权功用;
(8)能够对端口完结单线程扫描;
(9)能够对注册表进行简略的读取。
2.下载该源代码
   从作者网站将该源代码文件aspxspy.rar下载到本地后,首要运用杀毒软件avast!查杀一下压缩包,一切正常,看来该代码还没有广泛撒播,至少杀毒软件还未将其列入黑名单。
(二)剖析源代码
1.检查源代码
源代码文件aspxspy.rar中就一个文件aspxspy.aspx,十分简介,直接运用UltraEdit翻开该源代码文件,如图1所示,代码是用asp.net写的,在第12行中是该后门程序的办理暗码的32位md5加密值“21232f297a57a5a743894a0e4a801fc3”。

图1 检查aspxspy.aspx程序源代码
阐明:
一般经过UltraEdit等文本编辑器来检查Webshell等程序的源代码。
2.解密aspxspy中的暗码
将password的md5值“21232f297a57a5a743894a0e4a801fc3”放入[url]www.cmd5.com[/url]进行查询,其成果为“admin”,如图2所示,假如小黑们没有修正该值,那么经过缺省暗码“admin”咱们经过查找引擎查找就能够取得一些未经修正的Webshell。

图2 解密aspxspy中的办理员暗码
阐明:
尽管作者在其发布程序的页面上阐明晰其办理员暗码,但为了更好的运用该程序,因而有必要的程序中的一些要害之处进行剖析。知晓作者是选用哪种办法进行加密,便于打造归于自己的Webshell。
3.着手打造自己的Webshell
在cmd5页面直接输入原始的暗码来获取一个md5值,其原始的暗码一定要设置杂乱一点,例如本例中的“7a49107b5ce9067e35ff8de161ebb12d”,将其复制到cmd5网站进行查询,查询无成果,如图3所示,这样即便Webshell被他人查找到,因为无暗码,因而也百般无奈!将“7a49107b5ce9067e35ff8de161ebb12d”替换password的md5值“21232f297a57a5a743894a0e4a801fc3”,这样该Webshell根本算是归于咱们自己的了,后边还有一些需求修正的当地,能够依据自己的喜好进行那个修正,根本不影响该程序的运用。

图3 运用cmd5网站反查设置暗码的安全性
阐明:
    在aspxspy中还能够修正SessionName、cookiePass等值,以避免经过SessionName和cookiePass值来到达绕过验证的意图。
4.获取Webshell的特征标识
持续在源代码中进行检查,在1479行发现一个显着的标识,“Copyright(C)2008 Bin ->[url]WwW.RoOTkIt.NeT.Cn[/url]”,如图4所示,该标识会直接显现在Webshell中。

图4 获取Webshell的特征标识
阐明:
寻觅Webshell的特征标识,他主要是程序作者在写程序时用于阐明版权所有等信息,标明该程序是某某完结的等,这些信息能够直接经过Google获取。
(三)寻觅Webshell
1.经过特征在Google查询Webshell
先在Google中输入“Copyright(C)2008 Bin ->[url]WwW.RoOTkIt.NeT.Cn[/url]”进行查询,如图5所示,出来两个成果。需求留意的是输入查询的应该是:"Copyright(C)2008 Bin ->[url]WwW.RoOTkIt.NeT.Cn[/url]",运用了双引号,是对指定的要害词进行查找,不然出来将是包括这些要害字的合集的记载。

图5 经过Google查找Webshell的特征要害字
2.经过特征在百度中查询Webshell
   在百度查找引擎中输入"Copyright(C)2008 Bin ->[url]WwW.RoOTkIt.NeT.Cn[/url]"进行查询,作用不太抱负,如图6所示,无关于该准确特征的查找成果。

图6 经过百度查找Webshell的特征要害字
3.直接翻开第一个Webshell
翻开第一个Webshell的地址“[url]http://www.xi[/url]********.com/ads/20081224160466.aspx”,成果出来为aspxspy的webshell,如图7所示,猜解了一些一般暗码,都不是,看来作者修正了默许暗码,只好暂时抛弃。

图7获取台湾某小学校的Webshell
阐明:
已然有小黑***了该网站,除非***者对体系缝隙进行了修补,不然经过检测相同能够获取该体系的Webshell。就本Webshell有三种办法进行打破,一种就是写一个猜解机,经过重复输入暗码值来进行判别,第二种就是直接检测网站,施行***;第三种就是测验经过假造public string SessionName="ASPXSpy";public string cookiePass="ASPXSpyCookiePass";来打破。
4.检查剩余的Webshell
    直接翻开第二个查找记载,如图8所示,嘿嘿,是政府网站,Webshell还躲藏的蛮深的。

图8 获取政府网站的Webshell
5.告诉网站办理员
台湾的网站就不管了,去掉webshell地址,直接翻开网站地址“[url]http://www.bsfgw.gov.cn/SISYSTEM/Web/OACMS_WWW/default.aspx[/url]”,翻开后一看是“上海宝山开展变革物价信息网”,仍是一个大家伙,呵呵,从速告诉相关办理人员,找了半响总算找到一个局长信箱,如图9所示,对存在的问题进行友谊提示,主张进行全面的安全检测。

图9 友谊提示
6.持续寻觅Webshell
在Google中输入“Copyright (C) 2008 Bin -> [url]WwW.RoOTkIt.NeT.Cn[/url]”进行查找,如图10所示,出来41项成果,如图10所示,对每一个成果进行检查,要点检查网站地址中包括aspx的地址,例如“[url]www.ipo.gansu.gov.cn/Ashkan.aspx[/url]”,即图10中的第二个查找成果。

图10 再次查找Webshell的特征值
(1)获取不能履行的Webshell
直接翻开“[url]http://www.ipo.gansu.gov.cn/Ashkan.aspx[/url]”,如图11所示,在网站中[url]http://www.ipo.gansu.gov.cn[/url]显现为文本格式,标明该网站或许不支持aspx。

图11 获取不支持aspx的webshell
(2)获取某阿拉伯网站残损Webshell
持续检查成果,经过检查别离发现了其它的Webshell:[url]www.ktvc.ac.ir/LoadDynamicForm.aspx?FormCode=0[/url],如图12所示,该文字标明为阿拉伯国家的一个webshell,因为刺进不完整的原因,将webshell的内容显现出来了,却不能履行。

图12获取某阿拉伯网站残损Webshell
(3)持续获取其它Webshell
经过查找别离找到两个能够用的Webshell地址:[url]http://www.northforkrancheria.com/files/admin.aspx[/url]
[url]http://www.icfi.ir/Files/Galleries/SecurityRole.aspx[/url]
如图13所示,直接翻开这两个Webshell,经过输入一些简略的暗码进行测验,测验成果标明,***者修正了该默许的办理员暗码。

图13 再次查找出两个Webshell
(四)总结与领会
    本文算是GoogleHacking的运用办法之一,运用该办法假如命运好的话,能够直接得到Webshell。经过本办法即便没有取得真实的Webshell,但从旁边面能够知道得到Webshell的网站应该存在安全问题,那么下一步就是自己去发掘网站缝隙,提高自己的技术水平。
1.jpg (173.35 KB) 下载次数:0 5 天前 18:17
2.jpg (139.29 KB) 下载次数:0 5 天前 18:17
3.jpg (139.15 KB) 下载次数:1 5 天前 18:17
4.jpg (284.7 KB) 下载次数:1 5 天前 18:17
5.jpg (165.88 KB) 下载次数:0 5 天前 18:17
6.JPG (167.55 KB) 下载次数:0 5 天前 18:17
7.jpg (99.25 KB) 下载次数:0 5 天前 18:17
8.jpg (88.01 KB) 下载次数:0 5 天前 18:17
9.jpg (214.64 KB) 下载次数:0 5 天前 18:17
10.JPG (245.44 KB) 下载次数:0 5 天前 18:18
11.JPG (159.32 KB) 下载次数:0 5 天前 18:18
12.JPG (162.73 KB) 下载次数:0 5 天前 18:18
13.JPG (207.3 KB) 下载次数:0 5 天前 18:18
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表牛牛娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章