筆者一直都在強調一個東西,在網絡攻防中最重要的就是思維。本文的靈感來自於安天365團隊的一個篇稿件,在稿件中提到了一個AspxSpy的Asp.net類型後門軟件,在安全界中最近一直流行後門中的後門,即通過給出一個包含後門的Webshell程序,衆多小黑們在外面吭哧吭哧的幹活,而給出後門的老闆,卻在後面偷着數Webshell,這種後門中的後門一般來說有二種類型,一種就是直接掛馬,帶來直接的收益;另外一種就是將小黑攻克下的Webshell地址、用戶名和密碼全部給發回,換種說法就是,小黑控制的服務器,也就是我的服務器。本文也就是受這個啓發而展開研究的,通過研究發現,利用該方法還可以獲得不少的後門,有的還可以直接控制服務器。
(一)初識AspxSpy
1.AspxSpy簡介
AspxSpy 是網友Bin寫的一款後門工具軟件,可以到http://bbs.ctocio.com.cn/thread-7839565-1-1.html下載其源代碼,對於工具軟件我一般都喜歡到原作者哪裏去下載,這樣要相對安全一些,避免經過二道販子之手,增加不安全因素。其主要特色和功能如下:
(1)開發環境VS2005 + C#,兼容FrameWork1.1/2.0,基本實現代碼分離;
(2)密碼爲32位MD5加密(小寫) 默認爲 admin;
(3)採用POST方式提交數據,增強了隱蔽性;
(4)添加了IIS探測功能,遍歷IIS站點信息;
(5)增強了對文件屬性的修改;
(6)在SQLTools中增加了,SA權限執行系統命令功能,SQL_DIR 功能,可以直接備份log/database,到指定目錄文件名爲bin.asp Shell 爲
| <%execute request("B")%> |
(7)增加了 Serv-u 提權功能;
(8)可以對端口實現單線程掃描;
(9)可以對註冊表進行簡單的讀取。
2.下載該源代碼
從作者網站將該源代碼文件aspxspy.rar下載到本地後,首先使用殺毒軟件avast!查殺一下壓縮包,一切正常,看來該代碼還沒有廣泛流傳,至少殺毒軟件還未將其列入黑名單。
(二)分析源代碼
1.查看源代碼
源代碼文件aspxspy.rar中就一個文件aspxspy.aspx,非常簡介,直接使用UltraEdit打開該源代碼文件,如圖1所示,代碼是用asp.net寫的,在第12行中是該後門程序的管理密碼的32位md5加密值“21232f297a57a5a743894a0e4a801fc3”。
圖1 查看aspxspy.aspx程序源代碼
說明:
一般通過UltraEdit等文本編輯器來查看Webshell等程序的源代碼。
2.解密aspxspy中的密碼
將password的md5值“21232f297a57a5a743894a0e4a801fc3”放入www.cmd5.com進行查詢,其結果爲“admin”,如圖2所示,如果小黑們沒有修改該值,那麼通過缺省密碼“admin”我們通過搜索引擎搜索就可以獲得一些未經修改的Webshell。
圖2 解密aspxspy中的管理員密碼
說明:
雖然作者在其發佈程序的頁面上說明了其管理員密碼,但爲了更好的使用該程序,因此有必要的程序中的一些關鍵之處進行分析。知曉作者是採用哪種方式進行加密,便於打造屬於自己的Webshell。
3.動手打造自己的Webshell
在cmd5頁面直接輸入原始的密碼來獲取一個md5值,其原始的密碼一定要設置複雜一點,例如本例中的“7a49107b5ce9067e35ff8de161ebb12d”,將其複製到cmd5網站進行查詢,查詢無結果,如圖3所示,這樣即使Webshell被別人搜索到,由於無密碼,因此也無可奈何!將“7a49107b5ce9067e35ff8de161ebb12d”替換password的md5值“21232f297a57a5a743894a0e4a801fc3”,這樣該Webshell基本算是屬於我們自己的了,後面還有一些需要修改的地方,可以根據自己的愛好進行那個修改,基本不影響該程序的使用。
圖3 使用cmd5網站反查設置密碼的安全性
說明:
在aspxspy中還可以修改SessionName、cookiePass等值,以防止通過SessionName和cookiePass值來達到繞過驗證的目的。
4.獲取Webshell的特徵標識
繼續在源代碼中進行查看,在1479行發現一個明顯的標識,“Copyright(C)2008 Bin ->WwW.RoOTkIt.NeT.Cn”,如圖4所示,該標識會直接顯示在Webshell中。
圖4 獲取Webshell的特徵標識
說明:
尋找Webshell的特徵標識,他主要是程序作者在寫程序時用於說明版權所有等信息,表明該程序是某某完成的等,這些信息可以直接通過Google獲取。
(三)尋找Webshell
1.通過特徵在Google查詢Webshell
先在Google中輸入“Copyright(C)2008 Bin ->WwW.RoOTkIt.NeT.Cn”進行查詢,如圖5所示,出來兩個結果。需要注意的是輸入查詢的應該是:"Copyright(C)2008 Bin ->WwW.RoOTkIt.NeT.Cn",使用了雙引號,是對指定的關鍵詞進行搜索,否則出來將是包含這些關鍵字的合集的記錄。
圖5 通過Google搜索Webshell的特徵關鍵字
2.通過特徵在百度中查詢Webshell
在百度搜索引擎中輸入"Copyright(C)2008 Bin ->WwW.RoOTkIt.NeT.Cn"進行查詢,效果不太理想,如圖6所示,無關於該精確特徵的搜索結果。
圖6 通過百度搜索Webshell的特徵關鍵字
3.直接打開第一個Webshell
打開第一個Webshell的地址“http://www.xi********.com/ads/20081224160466.aspx”,結果出來爲aspxspy的webshell,如圖7所示,猜解了一些普通密碼,都不是,看來作者修改了默認密碼,只好暫時放棄。
圖7 獲取臺灣某小學校的Webshell
說明:
既然有小黑入侵了該網站,除非入侵者對系統漏洞進行了修補,否則通過檢測一樣可以獲取該系統的Webshell。就本Webshell有三種方式進行突破,一種就是寫一個猜解機,通過反覆輸入密碼值來進行判斷,第二種就是直接檢測網站,實施滲透;第三種就是嘗試通過僞造public string SessionName="ASPXSpy";public string cookiePass="ASPXSpyCookiePass";來突破。
4.查看剩下的Webshell
直接打開第二個搜索記錄,如圖8所示,嘿嘿,是政府網站,Webshell還隱藏的蠻深的。
圖8 獲取政府網站的Webshell
5.通知網站管理員
臺灣的網站就不管了,去掉webshell地址,直接打開網站地址“http://www.*****.gov.cn/SISYSTEM/Web/OACMS_WWW/default.aspx”,打開後一看是“某市發展改革物價信息網”,還是一個大傢伙,呵呵,趕快通知相關管理人員,找了半天終於找到一個局長信箱,如圖9所示,對存在的問題進行友情提醒,建議進行全面的安全檢測。
圖9 友情提醒
6.繼續尋找Webshell
在Google中輸入“Copyright (C) 2008 Bin -> WwW.RoOTkIt.NeT.Cn”進行搜索,如圖10所示,出來41項結果,如圖10所示,對每一個結果進行查看,重點查看網站地址中包含aspx的地址,例如“www.ipo.gansu.gov.cn/Ashkan.aspx”,即圖10中的第二個搜索結果。
圖10 再次搜索Webshell的特徵值
(1)獲取不能執行的Webshell
直接打開“http://www.ipo.*****.gov.cn/Ashkan.aspx”,如圖11所示,在網站中http://www.ipo.*****.gov.cn顯示爲文本格式,表明該網站可能不支持aspx。
圖11 獲取不支持aspx的webshell
(2)獲取某阿拉伯網站殘缺Webshell
繼續查看結果,通過查看分別發現了其它的Webshell:www.ktvc.ac.ir/LoadDynamicForm.aspx?FormCode=0,如圖12所示,該文字表明爲阿拉伯國家的一個webshell,由於插入不完整的原因,將webshell的內容顯示出來了,卻不能執行。
圖12獲取某阿拉伯網站殘缺Webshell
(3)繼續獲取其它Webshell
通過搜索分別找到兩個可以用的Webshell地址:http://www.northforkran******.com/files/admin.aspx
http://www.ic**.i r/Files/Galleries/SecurityRole.aspx
如圖13所示,直接打開這兩個Webshell,通過輸入一些簡單的密碼進行測試,測試結果表明,入侵者修改了該默認的管理員密碼。
圖13 再次搜索出兩個Webshell
(四)總結與體會
本文算是GoogleHacking的利用方式之一,利用該方法如果運氣好的話,可以直接得到Webshell。通過本方法即使沒有獲得真正的Webshell,但從側面可以知道得到Webshell的網站應該存在安全問題,那麼下一步就是自己去挖掘網站漏洞,提升自己的技術水平。
