2.3 從Aspx的WebShell到肉雞

我一直都在強調一個東西，即在網絡攻防中最重要的就是思維，在安全界中最近一直流行后門中的后門，即通過給出一個包含后門的WebShell程序，眾多小黑們在外面吭哧吭哧的干活，而給出后門的老板，卻在后面偷著數WebShell。這種后門中的后門一般來說有兩種類型：一種就是直接掛馬，帶來直接的收益；另外一種就是將小黑攻克下的WebShell地址、用戶名和密碼全部給發回，換句話說就是，小黑控制的服務器，也就是我的服務器。通過研究發現，利用該方法還可以獲得不少的后門，有的還可以直接控制服務器。

2.3.1 AspxSpy簡介

AspxSpy 是網友Bin寫的一款后門工具軟件，可以到http://www.xfocus.net/tools/200802/ 1247.html或者http://www.rootkit.net.cn/article.asp?id=57下載其源代碼，對于工具軟件，我一般都喜歡到原作者哪里去下載，這樣要相對安全一些，避免經過二道販子之手，增加不安全因素。其主要特色和功能如下：

（1）開發環境VS2005 + C#，兼容FrameWork1.1/2.0，基本實現代碼分離。

（2）密碼為32位MD5加密（小寫）默認為admin。

（3）采用POST方式提交數據，增強了隱蔽性。

（4）添加了IIS探測功能，遍歷IIS站點信息。

（5）增強了對文件屬性的修改。

（6）在SQLTools中增加了SA權限執行系統命令功能，SQL_DIR功能，可以直接備份log/database到指定目錄文件名為bin.asp，Shell為<%execute request("B")%>。

（7）增加了Serv-U提權功能。

（8）可以對端口實現單線程掃描。

（9）可以對注冊表進行簡單的讀取。

2.3.2 源代碼簡要分析

從筆者網站將該源代碼文件aspxspy.rar下載到本地后，首先使用殺毒軟件avast!查殺一下壓縮包，一切正常，看來該代碼還沒有廣泛流傳，至少殺毒軟件還未將其列入黑名單。源代碼文件aspxspy.rar中就一個文件aspxspy.aspx，非常簡單，直接使用UltraEdit打開該源代碼文件，如圖2-10所示，代碼是用asp.net寫的，在第12行中是該后門程序的管理密碼的32位MD5加密值“21232f297a57a5a743894a0e4a801fc3”。

有關源代碼簡要分析的說明如下。

（1）一般通過UltraEdit等文本編輯器來查看WebShell等程序的源代碼。

（2）WebShell的密碼加密方式相對簡單，一般是MD5加密。將password的MD5值“21232f297a57a5a743894a0e4a801fc3”放入www.cmd5.com進行查詢，其結果為“admin”，如圖2-11所示，如果小黑們沒有修改該值，那么用默認密碼“admin”，我們通過搜索引擎搜索就可以獲得一些未經修改的WebShell。

2.3.3 動手打造自己的WebShell

1.修改原始密碼

在cmd5頁面直接輸入原始的密碼來獲取一個MD5值，其原始的密碼一定要設置復雜一點，例如本例中的“7a49107b5ce9067e35ff8de161ebb12d”，將其復制到cmd5網站進行查詢，查詢無結果，如圖2-12所示，這樣即使WebShell被別人搜索到，由于無密碼，因此也無可奈何！將“7a49107b5ce9067e35ff8de161ebb12d”替換password的MD5值“21232f297a57a5a743894a0e4a801fc3”，這樣該WebShell基本算是屬于我們自己的了，后面還有一些需要修改的地方，可以根據自己的愛好進行修改，基本不影響該程序的使用。

2.獲取WebShell的特征標識

繼續在源代碼中進行查看，在1479行發現一個明顯的標識，“Copyright(C)2008 Bin->WwW.RoOTkIt.NeT.Cn”，如圖2-13所示，該標識會直接顯示在WebShell中，直接將這些標識刪除或者修改為自己獨有的標識。

2.3.4 尋找他人的WebShell

1.通過特征在Google查詢WebShell

先在Google中輸入“Copyright(C)2008 Bin ->WwW.RoOTkIt.NeT.Cn”進行查詢，如圖2-14所示，出來兩個結果。需要注意輸入查詢的應該是："Copyright(C)2008 Bin->WwW.RoOTkIt.NeT.Cn"，使用了雙引號，是對指定的關鍵詞進行搜索，否則出來將是包含這些關鍵字的合集的記錄。

2.通過特征在百度中查詢WebShell

在百度搜索引擎中輸入"Copyright(C)2008 Bin ->WwW.RoOTkIt.NeT.Cn"進行查詢，效果不太理想，如圖2-15所示，無關于該精確特征的搜索結果。

2.3.5 處理獲取的WebShell

1.直接打開第一個WebShell

打開第一個WebShell的地址“http://www.xi********.com/ads/20081224160466.aspx”，結果出來為aspxspy的WebShell，如圖2-16所示，猜解了一些普通密碼，都不是，看來筆者修改了默認密碼，只好暫時放棄。

2.查看剩下的WebShell

直接打開第二個搜索記錄，如圖2-17所示，嘿嘿，是政府網站，WebShell還隱藏得蠻深的。

3.通知網站管理員

臺灣地區的網站就不管了，去掉WebShell地址，直接打開網站地址“http://www. bsfgw.gov.cn/SISYSTEM/Web/OACMS_WWW/default.aspx”，打開后一看是“上海寶山發展改革物價信息網”，還是一個大家伙，呵呵，趕快通知相關管理人員，找了半天終于找到一個局長信箱，如圖2-18所示，對存在的問題進行友情提醒，建議進行全面的安全檢測。

4.繼續尋找WebShell

在Google中輸入“Copyright (C) 2008 Bin -> WwW.RoOTkIt.NeT.Cn”進行搜索，出來41項結果，如圖2-19所示，對每一個結果進行查看，重點查看網站地址中包含aspx的地址，例如“www.ipo.gansu.gov.cn/Ashkan.aspx”，即本案例中Google中的第二個搜索結果。

（1）獲取不能執行的WebShell

直接打開“http://www.ipo.gansu.gov.cn/Ashkan.aspx”，如圖2-20所示，在網站中http:// www.ipo.gansu.gov.cn顯示為文本格式，表明該網站可能不支持aspx。

（2）獲取某阿拉伯網站殘缺Webshell

繼續查看結果，通過查看分別發現了其他的WebShell：www.ktvc.ac.ir/LoadDynamic Form.aspx?FormCode=0，如圖2-21所示，該文字表明為阿拉伯國家的一個WebShell，由于插入不完整的原因，將WebShell的內容顯示出來了，卻不能執行。

（3）繼續獲取其他的WebShell

通過搜索分別找到兩個可以用的WebShell地址：

http://www.northforkrancheria. com/files/admin.aspx

http://www.icfi.ir/Files/Galleries/SecurityRole.aspx

如圖2-22所示，直接打開這兩個WebShell，通過輸入一些簡單的密碼進行測試，測試結果表明，入侵者修改了該默認的管理員密碼。

2.3.6 總結與探討

（1）本案例是Google Hacking的利用方式之一，利用該方法如果運氣好的話，可以直接得到WebShell。通過本方法即使沒有獲得真正的WebShell，但從側面可以知道得到WebShell的網站應該存在安全問題，那么下一步就是自己去挖掘網站漏洞，提升自己的技術水平。

（2）通過修改原創或者獲取的WebShell中的標識來防范Google Hacking，使自己的WebShell更加安全和隱蔽。