日期:2010-10-23  浏览次数:21161 次

朋友的网站近日多次被黑,而且老是被改页面,让我帮忙看看问题到底出在哪里。于是我找出早就听说可以找木马的思易ASP木马追捕,传到网站上查ASP木马。果然好用,它能列出网站内的所有目录和文件,凡ASP网页中调用FSO,有写(删、建)和上传功能的,它都能给找出来,而且它比其它ASP木马追捕更好的是能查关键字,我用它找出了朋友没有查出的冰狐后门。不过,这个用于网站安全维护的辅助工具,居然没有密码认证。有些粗心的管理员可能在用过后不会想到删除,或者为了以后再用,很可能将它放在网站上——我决定搜搜看。

在百度上用网页中的提示字查找,关键字是“思易ASP木马追捕”,找到相关网页约1,260个,从有这些关键字所在文件的扩展名看,大部分是提供下这个文件载,只有少数是思易这个ASP文件。

换用“本程序由Blueeyes编写”,找到17条记录,除3条是相关代码介绍外,其它都是思易ASP追捕这个文件本身,也就是说都可利用。看来命中率还是蛮高的。

小提示:比较了两次不同的搜索结果,可以发安闲有些站点在前面曾经搜到过,而这里没有,说明网上放有这个文件的网站远不止这些,变换搜索关键字,应该可以找出更多。

好了,我们来试着入侵这些网站。真接点击查询到的网页就可以打开思易ASP木马追捕了。我随便点了一个地址,这好象是个虚拟主机,我正想要虚拟主机的代理程序呢,就选它了。

通过网站内的思易ASP木马追捕文件,网站的目录、文件全部出来了。这个思易只能看,动手下载或打开文件却不行,怎么办呢?当然是找数据库了。要是能下载,密码又是明文,哼,那就好玩了!找到数据库目录,看到数据库是ASP,试试能不能下载,可惜人家做了防下载处理,下载不了——不过角落里有一个是mdb的数据库,估计是备份用的,也许里面也有密码信息,下载了再说。下载后,打开发现居然需要密码。

只好拿出破密码的软件破密码,找开后发现有密码信息。然后再根据思易找到后台,看能不能用“'or''='”进入,不行;找上传文件看有没有漏洞,结果论坛是不常见的,根本就没有上传文件;看来虚拟主机不是那么好拿的。

无奈中在思易ASP上点选“回上级目录”点点看,天啦,天上掉陷饼啦?居然可以回到根目录,看到其它的网站,看来是管理员没有设置访问的权限,有戏哦!如图6所示。

到各个目录下看看,进入一个FTP下载目录,有不少电影,先放一边。转了几个目录,下载了些不知名的工具,还下载了一个Web.rar文件,打看一看正是这个网站系统。这个在网站上可看不到,终于让我下到了,有点收获!

继续找可以入侵的地方,转到另一个可以访问的网站,看看数据库,扩展名是MDB,下载后顺利打开,密码还是明文的,成功了一半了。马上登陆后台,用得到的用户和密码顺利进入。有添加软件栏,但有点让人失望,只能填地址,不能直接上传,文章也没有上传图片功能。倒是有一个图片栏,可以上传图片。

既然是专门的图片栏,估计对上传类型做了严格的过滤,只能试试有没有上传漏洞可用了。用老兵的上传工具测试,结果不成功,扩展名改成了JPG。果然厉害,把漏洞补了?!

只能看着电脑发呆了,决定抓个包看看,直接在网站中把ASP当图片上传,提示文件类型非法,这也在意料之中。不等我看抓包结果,眼前的景象让我不敢相信:图片地址栏中出现了一组数字,后面是ASP!

真的不敢相信,不是我自己把在先前的文件地址复制到这里,改成ASP的吧?回忆一下,没有这样做,再看看,与先前上传的文件名不同。怎么回事,试试吧。天!奇迹真的出现了,ASP执行了!

后来进去后看了一下代码,前台没有任何过滤,后台只过滤了ASP,而且由于代码错误,它只是警告,并没有停止执行,文件继续上传了。

脚本小子:相关代码如下:

fileExt=lcase(right(file.filename,3))
if fileExt="asp" then
Response.Write"文件类型非法"
end if
end if
randomize
ranNum=int(90000*rnd)+10000

所以它实际上可以上传任何文件,警告提示只是吓唬人。

有了这个ASP后门,其它的就好办了。上传一个控制后门,果然很容易就进入了先前的目标网站。打开Coon.asp,数据库的密码出来了,通过后门程序将正在用的扩展名为ASP的数据库下载,改成MDB的,用密码打开,管理员的密码又是明文。用管理员姓名和密码,终于进入了目标网站后台。这次入侵可以说没有用上黑客工具,也没有多少技术可言,但入侵的思路与方法还是很独特的。有几个地方还是能给大家启发的,把网站的安全工具变成找肉鸡的工具,在直接不行时迂回作战,最后达成目的。可以说,黑客不仅仅是技术,有时思路也是很重要的。此外,这次入侵过程也显示,网站管理软件是一把双刃剑,因此必须采取必要的安全措施,要么加上密码认证,要么用时上传,用后删除。(