科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道后门中的后门 从webshell到肉鸡

后门中的后门 从webshell到肉鸡

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

笔者一直都在强调一个东西,在网络攻防中最重要的就是思维。本文的灵感来自于安天365团队的一个篇稿件,在稿件中提到了一个AspxSpy的Asp.net类型后门软件,在安全界中最近一直流行后门中的后门,即通过给出一个包含后门的Webshell程序,众多小黑们在外面吭哧吭哧的干活,而给出后门的老板,却在后面偷着数Webshell

来源:it168 2009年2月11日

关键字: WebShell 肉鸡 入侵 后门

  • 评论
  • 分享微博
  • 分享邮件

笔者一直都在强调一个东西,在网络攻防中最重要的就是思维。本文的灵感来自于安天365团队的一个篇稿件,在稿件中提到了一个AspxSpy的Asp.net类型后门软件,在安全界中最近一直流行后门中的后门,即通过给出一个包含后门的Webshell程序,众多小黑们在外面吭哧吭哧的干活,而给出后门的老板,却在后面偷着数Webshell,这种后门中的后门一般来说有二种类型,一种就是直接挂马,带来直接的收益;另外一种就是将小黑攻克下的Webshell地址、用户名和密码全部给发回,换种说法就是,小黑控制的服务器,也就是我的服务器。本文也就是受这个启发而展开研究的,通过研究发现,利用该方法还可以获得不少的后门,有的还可以直接控制服务器。

  (一)初识AspxSpy

  AspxSpy出来已经有很长时间,该程序作者是2008-02-02发布的,呵呵,很早就见过该程序,但一直没有时间去用它。

  1.AspxSpy简介

  AspxSpy 是网友Bin写的一款后门工具软件,可以到http://www.ixpub.net/thread-898531-1-1.html下载其源代码,对于工具软件我一般都喜欢到原作者哪里去下载,这样要相对安全一些,避免经过二道贩子之手,增加不安全因素。其主要特色和功能如下:

  (1)开发环境VS2005 + C#,兼容FrameWork1.1/2.0,基本实现代码分离;

  (2)密码为32位MD5加密(小写) 默认为 admin;

  (3)采用POST方式提交数据,增强了隐蔽性;

  (4)添加了IIS探测功能,遍历IIS站点信息;

  (5)增强了对文件属性的修改;

  (6)在SQLTools中增加了,SA权限执行系统命令功能,SQL_DIR 功能,可以直接备份log/database,到指定目录文件名为bin.asp Shell 为

<%execute request("B")%>

  (7)增加了 Serv-u 提权功能;

  (8)可以对端口实现单线程扫描;

  (9)可以对注册表进行简单的读取。

  2.下载该源代码

  从作者网站将该源代码文件aspxspy.rar下载到本地后,首先使用杀毒软件avast!查杀一下压缩包,一切正常,看来该代码还没有广泛流传,至少杀毒软件还未将其列入黑名单。

  (二)分析源代码

  1.查看源代码

  源代码文件aspxspy.rar中就一个文件aspxspy.aspx,非常简介,直接使用UltraEdit打开该源代码文件,如图1所示,代码是用asp.net写的,在第12行中是该后门程序的管理密码的32位md5加密值“21232f297a57a5a743894a0e4a801fc3”。

  图1 查看aspxspy.aspx程序源代码

  说明:

  一般通过UltraEdit等文本编辑器来查看Webshell等程序的源代码。

 2.解密aspxspy中的密码

  将password的md5值“21232f297a57a5a743894a0e4a801fc3”放入www.cmd5.com进行查询,其结果为“admin”,如图2所示,如果小黑们没有修改该值,那么通过缺省密码“admin”我们通过搜索引擎搜索就可以获得一些未经修改的Webshell。

  图2 解密aspxspy中的管理员密码

  说明:

  虽然作者在其发布程序的页面上说明了其管理员密码,但为了更好的使用该程序,因此有必要的程序中的一些关键之处进行分析。知晓作者是采用哪种方式进行加密,便于打造属于自己的Webshell。

  3.动手打造自己的Webshell

  在cmd5页面直接输入原始的密码来获取一个md5值,其原始的密码一定要设置复杂一点,例如本例中的“7a49107b5ce9067e35ff8de161ebb12d”,将其复制到cmd5网站进行查询,查询无结果,如图3所示,这样即使Webshell被别人搜索到,由于无密码,因此也无可奈何!将“7a49107b5ce9067e35ff8de161ebb12d”替换password的md5值“21232f297a57a5a743894a0e4a801fc3”,这样该Webshell基本算是属于我们自己的了,后面还有一些需要修改的地方,可以根据自己的爱好进行那个修改,基本不影响该程序的使用。

  图3 使用cmd5网站反查设置密码的安全性

  说明:

  在aspxspy中还可以修改SessionName、cookiePass等值,以防止通过SessionName和cookiePass值来达到绕过验证的目的。

  4.获取Webshell的特征标识

  继续在源代码中进行查看,在1479行发现一个明显的标识,“Copyright(C)2008 Bin ->WwW.RoOTkIt.NeT.Cn”,如图4所示,该标识会直接显示在Webshell中。

  图4 获取Webshell的特征标识

  说明:

  寻找Webshell的特征标识,他主要是程序作者在写程序时用于说明版权所有等信息,表明该程序是某某完成的等,这些信息可以直接通过Google获取。

 (三)寻找Webshell

  1.通过特征在Google查询Webshell

  先在Google中输入“Copyright(C)2008 Bin ->WwW.RoOTkIt.NeT.Cn”进行查询,如图5所示,出来两个结果。需要注意的是输入查询的应该是:"Copyright(C)2008 Bin ->WwW.RoOTkIt.NeT.Cn",使用了双引号,是对指定的关键词进行搜索,否则出来将是包含这些关键字的合集的记录。

  图5 通过Google搜索Webshell的特征关键字

  2.通过特征在百度中查询Webshell

  在百度搜索引擎中输入"Copyright(C)2008 Bin ->WwW.RoOTkIt.NeT.Cn"进行查询,效果不太理想,如图6所示,无关于该精确特征的搜索结果。

  图6 通过百度搜索Webshell的特征关键字

  3.直接打开第一个Webshell

  打开第一个Webshell的地址“http://www.xi********.com/ads/20081224160466.aspx”,结果出来为aspxspy的webshell,如图7所示,猜解了一些普通密码,都不是,看来作者修改了默认密码,只好暂时放弃。

  图7获取台湾某小学校的Webshell

  说明:

  既然有小黑入侵了该网站,除非入侵者对系统漏洞进行了修补,否则通过检测一样可以获取该系统的Webshell。就本Webshell有三种方式进行突破,一种就是写一个猜解机,通过反复输入密码值来进行判断,第二种就是直接检测网站,实施渗透;第三种就是尝试通过伪造public string SessionName="ASPXSpy";public string cookiePass="ASPXSpyCookiePass";来突破。

 4.查看剩下的Webshell

  直接打开第二个搜索记录,如图8所示,嘿嘿,是政府网站,Webshell还隐藏的蛮深的。

  图8 获取政府网站的Webshell

  5.通知网站管理员

  台湾的网站就不管了,去掉webshell地址,直接打开网站地址“http://www.*****.gov.cn/SISYSTEM/Web/OACMS_WWW/default.aspx”,打开后一看是“某市发展改革物价信息网”,还是一个大家伙,呵呵,赶快通知相关管理人员,找了半天终于找到一个局长信箱,如图9所示,对存在的问题进行友情提醒,建议进行全面的安全检测。

  图9 友情提醒

 6.继续寻找Webshell

  在Google中输入“Copyright (C) 2008 Bin -> WwW.RoOTkIt.NeT.Cn”进行搜索,如图10所示,出来41项结果,如图10所示,对每一个结果进行查看,重点查看网站地址中包含aspx的地址,例如“www.ipo.gansu.gov.cn/Ashkan.aspx”,即图10中的第二个搜索结果。

  图10 再次搜索Webshell的特征值

  (1)获取不能执行的Webshell

  直接打开“http://www.ipo.*****.gov.cn/Ashkan.aspx”,如图11所示,在网站中http://www.ipo.*****.gov.cn显示为文本格式,表明该网站可能不支持aspx。

 

  图11 获取不支持aspx的webshell

(2)获取某阿拉伯网站残缺Webshell

  继续查看结果,通过查看分别发现了其它的Webshell:www.ktvc.ac.ir/LoadDynamicForm.aspx?FormCode=0,如图12所示,该文字表明为阿拉伯国家的一个webshell,由于插入不完整的原因,将webshell的内容显示出来了,却不能执行。

  图12获取某阿拉伯网站残缺Webshell

  (3)继续获取其它Webshell

  通过搜索分别找到两个可以用的Webshell地址:http://www.northforkran******.com/files/admin.aspx

  http://www.ic**.i r/Files/Galleries/SecurityRole.aspx

  如图13所示,直接打开这两个Webshell,通过输入一些简单的密码进行测试,测试结果表明,入侵者修改了该默认的管理员密码。

  图13 再次搜索出两个Webshell

  (四)总结与体会

  本文算是GoogleHacking的利用方式之一,利用该方法如果运气好的话,可以直接得到Webshell。通过本方法即使没有获得真正的Webshell,但从侧面可以知道得到Webshell的网站应该存在安全问题,那么下一步就是自己去挖掘网站漏洞,提升自己的技术水平。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章