2.7 對某音樂網站的一次安全檢測

在前面的章節中提到了如何通過WebShell的特征關鍵字來獲取WebShell，同時提到了三種真正能夠獲得該WebShell的方法，本文是對該文的一個補充，也即當我們找到一個需要密碼驗證的WebShell時，從網絡攻防的角度，應該如何來處理問題。由于本次檢測未能聯系到官方負責人，因此主要從安全檢測的角度進行分析。

2.7.1 獲取WebShell信息

1.使用Google再次進行關鍵字搜索

直接打開Google搜索頁面，在其中輸入關鍵字“Copyright (C) 2008 Bin -> WwW.RoOTkIt.NeT.Cn”，然后單擊“Google搜索”，如圖2-65所示，出現兩個搜索結果。

2.增加特征關鍵詞范圍進行搜索

在Google搜索框中增加一些關鍵字，例如“Password:.Copyright (C) 2008 Bin -> WwW.RoOTkIt.NeT.Cn”，如圖2-66所示，出來的結果多了不少，一共有7個搜索記錄。

3.獲取意外的WebShell的管理密碼

在入侵者的WebShell中，管理密碼就如同房間的鑰匙，只要有它也就可以進入房間，在圖2-66中查看真實網站地址中以aspx結尾的地址，然后進行查看，如圖2-67所示，直接打開“http://www.carraigdonn.com/uploadedpics/unpublic.aspx”，獲取該WebShell的加密值“9e94b15ed312fa42232fd87a55db0d39”。

在該加密值后附帶有一個“//PASS:007”，可以推測該WebShell的密碼為007，但為了真正獲取該WebShell的密碼，還是到cmd5.com網站進行驗證，將“9e94b15ed312fa 42232fd87a55db0d39”值輸入解密框中，單擊“MD5加密或解密”獲取其密碼為“007”，如圖2-68所示，呵呵，一個好密碼！

前面是對上篇文章的一個復習，不會的朋友可以去嘗試，將目前所有的WebShell的關鍵特征進行收集和整理，通過本方法一定能夠有所收獲！

2.7.2 安全檢測之信息獲取

回到本文的正題上來，通過前面的一些方法，已經知道某網站被入侵后還留了一個asp.net的后門WebShell，由于沒有該WebShell的密碼，因此需要通過其他途徑來獲取。

1.查詢該域名主機下有無其他域名主機

打開ip866.com網站，如圖2-69所示，在輸入框中輸入網站地址www.****.com，然后單擊“點這里反查全部相關域名”，獲取該域名主機下的所有綁定域名，大致有40多個。

2.獲取IP地址以及端口開放情況

分別使用“ping www.********.com”以及“sfind -p 219.133.***.***”命令獲取端口信息等信息，如圖2-70所示，ping命令無反映，主機開放了80、21以及1433端口。

2.7.3 安全檢測之漏洞檢測

1.使用工具進行漏洞挖掘

打開Jsky，在其中新建立一個任務，然后進行掃描，如圖2-71所示，發現SQL注入點8個，跨站漏洞1個。

2.進行注入猜解

在圖2-71中選中一個SQL注入點，然后選擇使用pangolin進行滲透測試，pangolin程序會自動進行猜解，如果存在漏洞，則會顯示SQL注入點的類型、數據庫、關鍵字等信息，如圖2-72所示，直接單擊Tables猜解數據庫表，可獲取admin和news表。

3.猜解管理員表admin中的數據

選擇admin表中的id、admin_id、admin_name、admin_pass四個字段，然后單擊pangolin主界面右中方中的“Datas”猜解數據，如圖2-73所示，在最下方顯示整個表中共2條記錄，在右邊區域顯示猜解的結果。管理員密碼非常簡單，其中一個管理員用戶名和密碼都是“1”，密碼和用戶名均為進行加密。

4.獲取后臺地址

在Jsky掃描中發現存在admin目錄，因此直接在瀏覽器中輸入“http://www.*********.com/admin/”，打開后臺登錄地址，如圖2-74所示，后臺非常簡潔，沒有驗證碼之類的東西。

5.進入管理后臺

在圖2-74中分別輸入管理員名稱和密碼“1”，單擊“登錄”按鈕，成功進入管理后臺，如圖2-75所示，在后臺中主要有“首頁/管理中心/退出”、“用戶管理”、“添加信息”和“系統信息”四個主要管理模塊。

6.尋找上傳點

在該網站系統中，新聞動態、友情鏈接等添加信息接口中，均存在文件上傳模塊，且未對文件進行過濾，如圖2-76所示，可以上傳任何類型的文件，在本次測試中就直接將aspxspy.aspx文件上傳上去。

7.尋找上傳的WebShell地址

上面選擇是通過添加友情鏈接將WebShell文件上傳上去，到網站找到友情鏈接網頁，然后直接查看源代碼，獲取WebShell的地址，如圖2-77所示。

8.執行WebShell成功

在網站中輸入WebShell的地址：“http://www.xiaobang.com/ads/20081229233452.aspx”，輸入管理密碼，如圖2-78所示，WebShell可以正常運行，單擊“Sysinfo”可以查看系統信息。

2.7.4 提權之路

1.獲取數據庫配置文件信息

有WebShell后，獲取數據庫的配置信息就相對簡單多了，到網站目錄中去尋找conn.asp、config.asp、inc等，找到后打開該文件查看其源代碼，即可獲取數據庫的物理地址或者配置信息，如圖2-79所示。在aspxspy中有一個功能特別好用，那就是iisspy，使用它可以獲取該主機下所有的站點目錄等信息。

2.下載網站數據庫

如圖2-80所示找到數據庫的物理路徑，然后單擊“down”按鈕即可進行下載，在圖2-80中可以看到系統已經對數據庫采取了一些安全措施，比如設置了一個比較難以猜測的名稱，但當我們獲取WebShell后，設置再復雜的名稱也是無用了！

3.執行命令

在aspxspy中命令執行不太好用，換一個功能更強大的aspx類型的木馬，如圖2-81所示，可以執行“net user”、“net localgroup administrators”、“ipconfig /all”、“netstat-an”等命令來查看用戶、管理員組、網絡配置、網絡連接情況等信息，但不能執行添加用戶等提升權限操作，一執行就報錯，如圖2-82所示。

4.讀取注冊表信息

通過分析，發現該服務器安裝了Radmin軟件，且管理員修改了Radmin的默認管理端口4899，如果能夠獲取Radmin的口令加密值，也可以直接提升權限，單擊“Regshell”按鈕，在“Key”中輸入Radmin2.x版本的口令值保存鍵值“HKEY_LOCAL_MACHINE\ SYSTEM\RAdmin\v2.0\Server\Parameters”，然后單擊“Read”按鈕讀取，如圖2-83所示，未能成功讀取，后面使用其他WebShell的注冊表讀取，還是未成功，說明權限不夠。

5.使用asp的WebShell來提升權限

在有些情況下，aspx的WebShell不好使，但asp的WebShell執行效果比較好，如圖2-84所示，上傳一個asp的WebShell，然后分別查看serv-u和PcAnyWhere，系統使用了PcAnyWhere進行遠程管理。將其配置文件CIF下載到本地。

6.獲取PcanyWhere的密碼

使用“Symantec PcanyWhere Password Crack”軟件直接破解剛才獲取的CIF配置文件，如圖2-85所示，順利地讀出PcanyWhere遠程連接的用戶名和密碼，后面筆者安裝了Symantec PcanyWhere，通過它來連接該服務器，連接成功后需要用戶名和密碼才能進行完全控制。

2.7.5 總結與探討

本次安全檢測來自于上次上篇文章，本次僅僅為安全檢測，安全檢測發現了漏洞，驗證了上篇文章中的思路，成功獲取了WebShell，且在一定幾率下還可以完全控制該服務器（等待管理員進入系統后，未鎖定屏幕的過程中，通過PcanyWhere來實施遠程控制），在本次檢測過程中有以下一些收獲。

1.在網絡安全攻防實戰過程中豐富了安全滲透和檢測實踐經驗

本次檢測熟悉了aspxspy這個功能強大的asp.net的WebShell，該WebShell最大的優點是在獲取某一個WebShell后可以通過它來下載其他綁定域名站點的數據庫。

2.加深對站點安全防護的認識

在本次檢測中我可以明顯地感覺到該主機系統進行了一些安全防護，除了PcanyWhere程序權限設置不嚴格外，其他部分的權限設置的還可以。即使入侵者拿到了WebShell也無法控制服務器，雖然以犧牲用戶資料為代價。

3.安全重在實戰、實踐和基礎技術的研究

我一直都認為安全技術是一個長期積累的過程，只有不斷地進行技術研究、技術積累、才能提高自己，通過這次研究，將促使我們更加注重技術的研究和研發！