對某音樂網(wǎng)站的一次安全檢測
原創(chuàng)一、獲取Webshell信息
1.使用Google再次進行關鍵字搜索
直接打開Google搜索頁面,在其中輸入關鍵字“Copyright (C) 2008 Bin -> WwW.RoOTkIt.NeT.Cn”,然后單擊“Google搜索”,如圖1所示,出現(xiàn)兩個搜索結果。
 |
| 圖1 |
2.增加特征關鍵詞范圍進行搜索
在Google搜索框中增加一些關鍵字,例如“Password:.Copyright (C) 2008 Bin -> WwW.RoOTkIt.NeT.Cn”,如圖2所示,出來的結果多了不少,一共有7個搜索記錄。
 |
| 圖2 |
3.獲取意外的Webshell的管理密碼
在入侵者的Webshell中,管理密碼就如同房間的鑰匙,只要有它也就可以進入房間,在圖2中查看真實網(wǎng)站地址中以aspx結尾的地址,然后進行查看,如圖3所示,直接打開“http://www.carraigdonn.com/uploadedpics/unpublic.aspx”,獲取該webshell的加密值“9e94b15ed312fa42232fd87a55db0d39”。
 |
| 圖3 |
 |
| 圖4 |
#p#
二、安全檢測之信息獲取
回到本文的正題上來,通過前面的一些方法,已經知道某網(wǎng)站被入侵后還留了一個asp.net的后門Webshell,由于沒有該Webshell的密碼,因此需要通過其它途徑來獲取。 1.查詢該域名主機下有無其它域名主機打開ip866.com網(wǎng)站,如圖5所示,在輸入框中輸入網(wǎng)站地址www.****.com,然后單擊“點這里反查全部相關域名”,獲取該域名主機下的所有綁定域名,我大致看了看有40多個。 |
| 圖5 |
2.獲取IP地址以及端口開放情況
分別使用“ping www.********.com”以及“sfind -p 219.133.***.***”命令獲取端口信息等信息,如圖6所示,ping命令無反映,主機開放了80,21以及1433端口。
 |
| 圖6 |
#p#
三、安全檢測之漏洞檢測
1.使用工具進行漏洞挖掘
打開Jsky,在其中新建立一個任務,然后進行掃描,如圖7所示,發(fā)現(xiàn)SQL注入點8個,跨站漏洞1個。
 |
| 圖7 |
2.進行注入猜解
在圖7中中選中一個SQL注入點,然后選擇使用pangolin進行滲透測試,pangolin程序會自動進行猜解,如果存在漏洞,則會顯示SQL注入點的類型,數(shù)據(jù)庫,關鍵字等信息,在圖8所示,我們直接單擊Tables猜解數(shù)據(jù)庫表,獲取了admin和news表。
 |
| 圖8 |
 |
| 圖9 |
4.獲取后臺地址
在Jsky掃描中發(fā)現(xiàn)存在admin目錄,因此直接在瀏覽器中輸入“http://www.*********.com/admin/”,打開后臺登陸地址,如圖10所示,后臺非常簡潔,沒有驗證碼之類的東東。
 |
| 圖10 |
5.進入管理后臺
在圖10中分別輸入管理員名稱和密碼“1”,單擊“登陸”,成功進入管理后臺,如圖11所示,在后臺中主要有“首頁/管理中心/退出”、“用戶管理”、“添加信息”和“系統(tǒng)信息”四個主要管理模塊。
 |
| 圖11 |
6.尋找上傳點
在該網(wǎng)站系統(tǒng)中,新聞動態(tài)、友情鏈接等添加信息接口中,均存在文件上傳模塊,且未對文件進行過濾,如圖12所示,可以上傳任何類型的文件,在本次測試中就直接將aspxspy.aspx文件直接上傳上去。
 |
| 圖12 |
7.尋找上傳的Webshell地址
上面選擇是通過添加友情鏈接將webshell文件上傳上去,到網(wǎng)站找到友情鏈接網(wǎng)頁,然后直接查看源代碼,如圖13所示,獲取webshell的地址。
 |
| 圖13 |
8.執(zhí)行Webshell
成功在網(wǎng)站中輸入Webshell的地址:“http://www.xiaobang.com/ads/20081229233452.aspx”,輸入管理密碼,如圖14所示,webshell可以正常運行,單擊“Sysinfo”可以查看系統(tǒng)信息。
 |
| 圖14 |
#p#
四、提權之路
1.獲取數(shù)據(jù)庫配置文件信息
有Webshell后,獲取數(shù)據(jù)庫的配置信息就相對簡單多了,到網(wǎng)站目錄中去尋找conn.asp、config.asp、inc等,找到后打開該文件查看其源代碼即可獲取數(shù)據(jù)庫的物理地址或者配置信息,如圖15所示。在aspxspy中有一個功能特別好用,那就是iisspy,使用它可以獲取該主機下所有的站點目錄等信息。
 |
| 圖15 |
2.下載網(wǎng)站數(shù)據(jù)庫
如圖16所示找到數(shù)據(jù)庫的物理路徑,然后單擊“down”即可進行下載,在圖16中可以看到系統(tǒng)已經對數(shù)據(jù)庫采取了一些安全措施,比如設置了一個比較難以猜測的名稱,但當我們獲取Webshell后,設置再復雜的名稱也是無用了!
 |
| 圖16 |
3.執(zhí)行命令
在aspxspy中命令執(zhí)行不太好用,換一個功能更強大的aspx類型的木馬,如圖17所示,可以執(zhí)行“net user”、“net localgroup administrators”、“ipconfig /all”、“netstat-an”等命令來查看用戶、管理員組、網(wǎng)絡配置、網(wǎng)絡連接情況等信息,但不能執(zhí)行添加用戶等提升權限操作,一執(zhí)行就報錯,如圖18所示。
 |
| 圖17 |
 |
| 圖18 |
4.讀取注冊表信息
通過分析,發(fā)現(xiàn)該服務器安裝了Radmin軟件,且管理員修改了radmin的默認管理端口4899,如果能夠獲取radmin的口令加密值,也可以直接提升權限,單擊“Regshell”,在“Key”中輸入Radmin2.x版本的口令值保存鍵值“HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters”,然后單擊“Read”讀取,如圖18所示,未能成功讀取,后面使用其它Webshell的注冊表讀取,還是未成功,說明權限不夠。
 |
| 圖19 |
5.使用asp的webshell來提升權限
在有些情況下,aspx的webshell不好使,但asp的webshell執(zhí)行效果比較好,如圖20所示,上傳一個asp的webshell,然后分別查看serv-u和PcAnyWhere,系統(tǒng)使用了PcAnyWhere進行遠程管理。將其配置文件CIF下載到本地。
 |
| 圖20 |
6.獲取PcanyWhere的密碼
使用“Symantec PcanyWhere Password Crack”軟件直接破解剛才獲取的CIF配置文件,如圖21所示,順利的讀出PcanyWhere遠程連接的用戶名和密碼,后面我安裝了Symantec PcanyWhere,通過它來連接該服務器,連接成功后需要用戶名和密碼才能進行完全控制。
 |
| 圖21 |
#p#
五、總結與體會
本次安全檢測來自于上次上篇文章,本次僅僅為安全檢測,安全檢測發(fā)現(xiàn)了漏洞,驗證了上篇文章中的思路,成功獲取了Webshell,且在一定幾率下還可以完全控制該服務器(等待管理員進入系統(tǒng)后,未鎖定屏幕的過程中,通過PcanyWhere來實施遠程控制),在本次檢測過程中有以下一些收獲和體會: 1.在網(wǎng)絡安全攻防實戰(zhàn)過程中豐富了安全滲透和檢測實踐經驗。本次檢測熟悉了aspxspy這個功能強大的asp.net的webshell,該webshell最大的優(yōu)點是在獲取某一個Webshell后可以通過它來下載其它綁定域名站點的數(shù)據(jù)庫。 2.加深對站點安全防護的認識。在本次檢測中我可以明顯的感覺到該主機系統(tǒng)進行了一些安全防護,除了PcanyWhere程序權限設置不嚴格外,其它部分的權限設置的還可以。即使入侵者拿到了Webshell也無法控制服務器,雖然以犧牲用戶資料為代價。 3.安全重在實踐和基礎技術的研究。我一直都認為安全技術是一個長期積累的過程,只有不斷的進行技術研究,技術積累,才能提高自己,通過這次研究,將促使我們更加注重技術的研究和研發(fā)!本文僅僅是筆者的一點鄙見,不到之處請指正,有任何問題,可以到我們的論壇(http://www.antian365.com/bbs)進行討論,我的論壇昵稱是simeon。【51CTO.COM 獨家特稿,轉載請注明出處及作者!】
【編輯推薦】
