2.2 Google搜索WebShell的實際處理思路

借助Google搜索的強大功能，有些時候可以進行投機取巧，順手牽“雞”。對于大多數安全愛好者來說，對入侵工具都是拿來主義，稍加修改就投入使用，在這些人中有很多人都喜歡打上自己的標簽，例如本案例中的“JFolder New4修改版”，聲明“某某到此一游”！實際上在自己攻克某臺服務器并留下WebShell的同時也就給他人可乘之機，下面將對WebShell的處理思路進行探討。

2.2.1 通過Google搜索相應的WebShell關鍵字

在Google搜索框中輸入“JFolder New4修改版”就會出來一些結果，如圖2-4所示，出來了8條結果，有些時候由于關鍵定位等問題，可能出來的搜索結果記錄相對較少，這個時候可以單擊搜索記錄結果下面的“將省略的結果納入搜索范圍后再重新搜索”，來獲取更多有關該關鍵字的搜索結果。

2.2.2 處理搜索結果

雖然通過Google搜索出相應關鍵的結果，但有些時候這些網頁可能打不開或者說不能運行腳本，有用的記錄就是那些可以正常顯示WebShell的記錄。例如在本例中一共獲取了8個記錄，通過實際測試，如圖2-5所示，在WebShell頁面上留有“JFolder_By_New4”，在網頁的標題欄上有“JFolder New4修改版”，WebShell上面顯示文字和標記都可以作為Google搜索的關鍵。在本次測試中一共有4個Webshell可以正常運行：

（1）http://yh***.km***.net/UPLOAD/info/1253544968234/job.jpg.jsp

（2）http://www.s***c.org/upload/zxsl/8/job.jsp

（3）http://www.s***c.org/upload/2105/job.jsp

（4）http://www.e***z.com:8080/ewzboard/cheditor/attach/SUaYQDXP.jsp

2.2.3 破解登錄密碼

現在的WebShell一般都要求輸入一個密碼用來保護WebShell不被他人使用，因此破解登錄密碼只能憑經驗輸入一些常見的密碼進行測試，蒙對了也就進去了。

2.2.4 漏洞測試

通過Google搜索到WebShell，那么該站點或者服務器一定存在漏洞，因此可以通過一些漏洞分析再現被攻擊的過程。最為快捷的方法是目錄列表，當然還有其他的漏洞分析方法，例如使用SQL注入工具掃描SQL注入漏洞等。在出現WebShell的地址多會出目錄列表漏洞，通過瀏覽目錄列表，從中尋找其他WebShell以及漏洞。在尋找這種漏洞時可以層層展開，對一些文件目錄進行瀏覽，對某些特殊的文件進行訪問或者下載。以WebShell地址“http://www.en****.com:8080/ewzboard/cheditor/attach/SUaYQDXP.jsp”為例，如圖2-6所示，去掉WebShell的具體文件名稱，然后回車瀏覽，即可看到該目錄下所有文件的列表。

2.2.5 獲取WebShell

通過地址欄中的“attach”可以知道該目錄中的文件應該為圖片等指定的文件類型，在該文件夾下出現了多個jsp文件，通過對這些文件一一進行瀏覽測試，如圖2-7所示，測試數個jsp文件后，終于直接獲取該網站的WebShell。該WebShell是JFolder1.0，不用輸入密碼即可訪問。

2.2.6 實施控制

在現有可用的WebShell基礎上上傳一個自己的WebShell，然后對服務器進行提權和進一步的滲透控制。在滲透控制過程中，可以積極收集和分析數據，如圖2-9所示，將該目錄下的WebShell打包下載到本地，然后對這些代碼進行分析和處理，收集WebShell中的密碼，整理和完善WebShell，通過分析，取長補短，加深理解和吸收優點！在滲透武器庫中增加新獲取的“裝備”，在有些情況下可能會獲取一些意向不到的東西。

2.2.7 總結與探討

（1）在獲取WebShell后，一定要記得查看網站配置文件、數據庫配置文件和數據庫等，如果可能，可以將這些文件或者信息保存到本地，方便再次滲透和重新控制。

（2）獲取WebShell后，可以站在安全評估和加固的角度，對所控制的站點或者服務器進行分析，看看服務器還存在哪些漏洞，如果你是維護者，應該從哪些方面來修補漏洞和加固系統。