|
利用思易ASP木馬追捕入侵站點
朋友的網(wǎng)站近日多次被黑,而且老是被改頁面����,讓我?guī)兔纯磫栴}到底出在哪里。于是我找出早就聽說可以找木馬的思易ASP木馬追捕��,傳到網(wǎng)站上查ASP木馬�����。果然好用����,它能列出網(wǎng)站內(nèi)的所有目錄和文件�,凡ASP網(wǎng)頁中調(diào)用FSO��,有寫(刪��、建)和上傳功能的����,它都能給找出來�����,而且它比其它ASP木馬追捕更好的是能查關(guān)鍵字�,我用它找出了朋友沒有查出的冰狐后門。不過����,這個用于網(wǎng)站安全維護(hù)的輔助工具,居然沒有密碼認(rèn)證���。有些粗心的管理員可能在用過后不會想到刪除����,或者為了以后再用����,很可能將它放在網(wǎng)站上——我決定搜搜看��。
在百度上用網(wǎng)頁中的提示字查找���,關(guān)鍵字是“思易ASP木馬追捕”,找到相關(guān)網(wǎng)頁約1���,260個��,從有這些關(guān)鍵字所在文件的擴展名看���,大部分是提供下這個文件載,只有少數(shù)是思易這個ASP文件��。
換用“本程序由Blueeyes編寫”���,找到17條記錄�,除3條是相關(guān)代碼介紹外���,其它都是思易ASP追捕這個文件本身,也就是說都可利用�����。看來命中率還是蠻高的���。
小提示:比較了兩次不同的搜索結(jié)果�,可以發(fā)安閑有些站點在前面曾經(jīng)搜到過�,而這里沒有,說明網(wǎng)上放有這個文件的網(wǎng)站遠(yuǎn)不止這些��,變換搜索關(guān)鍵字�����,應(yīng)該可以找出更多���。
好了���,我們來試著入侵這些網(wǎng)站。真接點擊查詢到的網(wǎng)頁就可以打開思易ASP木馬追捕了��。我隨便點了一個地址�,這好象是個虛擬主機,我正想要虛擬主機的代理程序呢����,就選它了�。
通過網(wǎng)站內(nèi)的思易ASP木馬追捕文件����,網(wǎng)站的目錄、文件全部出來了��。這個思易只能看�,動手下載或打開文件卻不行,怎么辦呢����?當(dāng)然是找數(shù)據(jù)庫了。要是能下載�,密碼又是明文,哼����,那就好玩了!找到數(shù)據(jù)庫目錄��,看到數(shù)據(jù)庫是ASP����,試試能不能下載,可惜人家做了防下載處理��,下載不了——不過角落里有一個是mdb的數(shù)據(jù)庫�,估計是備份用的,也許里面也有密碼信息�,下載了再說。下載后�����,打開發(fā)現(xiàn)居然需要密碼�����。
只好拿出破密碼的軟件破密碼����,找開后發(fā)現(xiàn)有密碼信息。然后再根據(jù)思易找到后臺���,看能不能用“‘or‘‘=‘”進(jìn)入��,不行��;找上傳文件看有沒有漏洞����,結(jié)果論壇是不常見的,根本就沒有上傳文件��;看來虛擬主機不是那么好拿的����。
無奈中在思易ASP上點選“回上級目錄”點點看,天啦��,天上掉陷餅啦��?居然可以回到根目錄�����,看到其它的網(wǎng)站��,看來是管理員沒有設(shè)置訪問的權(quán)限��,有戲哦���!如圖6所示��。
到各個目錄下看看���,進(jìn)入一個FTP下載目錄���,有不少電影,先放一邊���。轉(zhuǎn)了幾個目錄,下載了些不知名的工具����,還下載了一個Web.rar文件,打看一看正是這個網(wǎng)站系統(tǒng)����。這個在網(wǎng)站上可看不到,終于讓我下到了����,有點收獲!
繼續(xù)找可以入侵的地方�����,轉(zhuǎn)到另一個可以訪問的網(wǎng)站����,看看數(shù)據(jù)庫�,擴展名是MDB����,下載后順利打開,密碼還是明文的���,成功了一半了�。馬上登陸后臺����,用得到的用戶和密碼順利進(jìn)入。有添加軟件欄����,但有點讓人失望,只能填地址��,不能直接上傳�����,文章也沒有上傳圖片功能�。倒是有一個圖片欄����,可以上傳圖片���。
既然是專門的圖片欄��,估計對上傳類型做了嚴(yán)格的過濾�����,只能試試有沒有上傳漏洞可用了。用老兵的上傳工具測試�,結(jié)果不成功,擴展名改成了JPG���。果然厲害�,把漏洞補了���?��!
只能看著電腦發(fā)呆了����,決定抓個包看看,直接在網(wǎng)站中把ASP當(dāng)圖片上傳����,提示文件類型非法,這也在意料之中�。不等我看抓包結(jié)果,眼前的景象讓我不敢相信:圖片地址欄中出現(xiàn)了一組數(shù)字����,后面是ASP!
真的不敢相信�����,不是我自己把在先前的文件地址復(fù)制到這里���,改成ASP的吧�����?回憶一下����,沒有這樣做�����,再看看,與先前上傳的文件名不同��。怎么回事��,試試吧����。天!奇跡真的出現(xiàn)了��,ASP執(zhí)行了���!
后來進(jìn)去后看了一下代碼,前臺沒有任何過濾�,后臺只過濾了ASP,而且由于代碼錯誤�����,它只是警告�,并沒有停止執(zhí)行,文件繼續(xù)上傳了����。
腳本小子:相關(guān)代碼如下:
fileExt=lcase(right(file.filename����,3))
if fileExt="asp" then
Response.Write"文件類型非法"
end if
end if
randomize
ranNum=int(90000*rnd)+10000
所以它實際上可以上傳任何文件���,警告提示只是嚇唬人���。
有了這個ASP后門,其它的就好辦了���。上傳一個控制后門�,果然很容易就進(jìn)入了先前的目標(biāo)網(wǎng)站�����。
打開Coon.asp����,數(shù)據(jù)庫的密碼出來了,通過后門程序?qū)⒄谟玫臄U展名為ASP的數(shù)據(jù)庫下載�,改成MDB的,用密碼打開��,管理員的密碼又是明文。用管理員姓名和密碼����,終于進(jìn)入了目標(biāo)網(wǎng)站后臺。
這次入侵可以說沒有用上黑客工具����,也沒有多少技術(shù)可言,但入侵的思路與方法還是很獨特的����。有幾個地方還是能給大家啟發(fā)的,把網(wǎng)站的安全工具變成找肉雞的工具���,在直接不行時迂回作戰(zhàn)�����,最后達(dá)成目的?����?梢哉f���,黑客不僅僅是技術(shù)����,有時思路也是很重要的。此外����,這次入侵過程也顯示,網(wǎng)站管理軟件是一把雙刃劍�����,因此必須采取必要的安全措施�,要么加上密碼認(rèn)證,要么用時上傳�����,用后刪除�����。
|
