危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2291 浏览19862003

Webshell后门引发地方血案

入侵缘由

这天危险漫步正在某黑客论坛溜达,突然一个帖子强烈的吸引了我:“年度黑吧超强VIP免杀ASP木马,送给大家”,看起来很强大哟,还免杀,但是下载地址却是外部链接,这引起了我的怀疑,不多说了,按照给出的地址下载了一份回来,下载完毕后解压,使用EditPlus打开。

我们可以根据开头的代码<%@LANGUAGE;.Encode%,很容易的判断出来,最后的加密应该是微软的.Encode加密,可能有同学要问了,被这个加密后不应该是乱码吗,怎么这里不是呢?大家别急,这个木马只是加密了部分代码,代码前面定义wehshell密码的部分并没有加密,根据我的经验,后门往往就写在开头的部分里。先不急着解密,我们把没有把微软加密的代码看下去,其中一段引起了我的注意,这行的意思就是把等号右边的字符串赋值给acode变量,然后紧接着下面一句代码就是对acode这个变量里面的字符串进行变换、替换,最后字母反转等操作,我们知道SirReverse函数的作用就是对字符串进行反转,这里不管它前面怎么变换,我们先试着把acode变量里面的字符串反转下看看,得到了一处标签,其sfc属性是指向页面的。既然是标签,那么我们直接搭建环境,访问asp木马,点击右键查看源文件,应该就可以看到完整的标签内容了。说做就做,使用小旋风搭建asp环境,访问大马,登录,查看到的源文件,在源文件中搜索“longzu.info”,来到了最后一行,可以很清楚的看到完整的script标签。src属性是指向一个asp页面的,而且参数就是我们大马的地址十大马密码,因为我是在本地测试,所以地址就是以localhost开头的,而且我们也可以猜测到那个src指向

的页面q.asp,是可以记录参数提交过去的内容。尝试访问地址,显示是一片空白,我们在参数后面输入“放后门是不对的,人品有问题”,然后回车提交,相信也是可以被记录并被放置后门的那个家伙看到的,哈哈。到这里我们的工作就结束了呜?不,这只是个一个开始,因为此时我的想法是黑了这个后门处理页面所在的网站,给放后门的那个家伙一个教训。

战争开始

首先我们访问它的主站,这是一个商城网站,根据底部的版权信息“Powered by ShopEx v4.85”我们可队轻松得知网站的整站系统是shopex,看到这儿我想可能有戏,前段时间ShopEx不是刚出了几个Oday吗,于是就操起漏洞利用工具,填入网址,提交。但并役有出现想象中的数据库信息,我又手工测试了几次,都没有成功,看来漏洞已经被修补,直接从主站下手应该没多大希望了。那么我们就换个思路,还可以通过                                                                           旁注,使用C段反查工具得到了结果。

可以看到上面有很多网站,我之所以选择使用这款工具,就是因为它查询出来的结果比较准确一些,而别的一些查询工具查询出的信息很多都是过时的。我们在结果栏中点击鼠标右犍,选择“Export All”,然后导出一个txt文件,这样方便我们使用工具来批量扫描。接F来打开明小于3.6,选择网站批量检测,在下方的待检测网址框中点击右键,导人我们刚才使用工具导出来的txt文件,然后在单选框中选择全选,最后点击开始检测,过了一会儿,出现了一个看起来挺熟悉的检测结果。

我们打开网址看看,果然是雷驰的上传页面,嘿嘿,我们直接构造上传地址uploadPic.asp?ac tionTypefrn od&picName--test,asp,回车提交后再选择一个图片木马,上传,成功后应该就可以在图片目录下生成test.asp文件,而该文件的内容就是我们上传的图片木马的内容。好了,我们操作一下,上传后没有回显,没法判断是否上传成功,我们直接访问一下地址。

会不会是修改了默认上传图片的目录uppicll?我试着直接访问uppic目录,结果却和上图一样,看来默认的图片目录被修改了。我们返回到网站首页,通过一则新闻发布页面,我找到了图片的上传目录是UploadFileS,然后继续访问,结果同样是和上面一样,提示不存在,看来雷驰的上传漏洞被修复了。很多危险漫步的粉丝遇到这样的情况时都会直接选择放弃,其实雷驰的上传漏洞修复后还是可以被突破的,我们继续构造上传页面:uploadPic.asp?action\=od&ed川<emNum=l.asp;& upIoad_code=ok&editlmageNum=l,回车访问后上传l.jpg域名的图片木马,此时就会在图片目录生成1.asp;_2.gif命名的文件了,而这个文件名配合iis6的解析漏洞就足以让我们拿到webshell了。我们来试试看,上传,访问,看,小马已经成功上传了。

至此,我们离目标网站的权限又近了许多,拿到了旁站的权限,接下来就开始向目标网站迂回了,首先上传一个大马,成功登录后查看一下组件信息,Ws组件显示是没有的,可能被重命名了,也可能是被删除了,我们上传cmd,asp,这个文件可以调用被改名的ws组件,但还是失败了,说明wsifl件是被删除了。我上传了一个aspx木马, 点击SSpy,得到的结果为空,试了一下,目录也是不能跨的,权限不够,再试试执行cmd,点击Command,来到cmd界面,单击“Run”,提示拒绝访问。我试着在网站根目录下上传了一个cmd.exe,然后再运行,还是提示拒绝访问,看来网站根目录也是没有权限的,怎么办呢?这时候我想到了Temp目录,默认情况下这个目录是everyone都可以控制的,我们继续在“C:\WindowshTemp”目录下上传一个cmd.exe,这回终于成功运行了。

现在离提权成功又近了一步,考虑到支持aspx,又是Windows2003的系统,应该尝试一下前段时间非常流行的巴西烤肉提权!我们上传利用程序Churrasco.exe服务器的temp目录下,然后来到cmd界面,在CmdPath中填写Churrasco.exe的地址,在Argument中填写参数,然后执行。

提示“Couldn't run command,try again!”,这是为什么呢?难道是默认的cmd没有权限?于是我又找了一个可以自定义cmd路径的巴西烤肉利用程序上传上去,执行命令,成功的添加了帐户!兴冲冲的跑去远程连接3389,输AIP回车后,好大一会儿才弹出一个无法连接的提示框。

怎么,难道是更换端口了?我又跑回welishell里执行tasklist tsvct然后在结果中找到了TermService服务,也就是终端服务所对应的进程pid是221.最后再执行netstat -ano,查看pid2216所对应的端口。

大家可能发现了,由于aspx木马设计的原因,pid并没有被完整的显示出来,怎么来确定呢,我们查看源文件,搜索2216就可以了,看得出来,终端服务对应的端口就是1984了,我们使用端口1984重新连接一下终端,成功晋录了。

至此,服务器就被危险漫步成功的拿下了,不用说了,目标网站的权限也归我了。进人服务器,找到那个后门地址所在的目录,果然是有  个q.asp文件,这个q.a spl7l/t是我之前猜测的用来记录参数的脚本文件,我们打开看一下。

熟悉asp语言的朋友应该可以看的明白,这段代码的作用就是把接收到的参数记录在同目录下的qw.htm中,结尾代码处还有一个遍JJrequest对象的servervariables集合的循环,不过被注释掉了。我果然在同目录下找到了qw.htm文件,打开它一看,哈哈,记录的正是我们本地访问asp大马的地址和密码,还有我输入的那句“放后门是不对的,人品有问题”。由于可以判断,我最初的猜测是完全正确的!这里奉劝一下那些喜欢放后门的人,要厚道,不劳而获终究是小人所为,同时也希望看到此文的人们不要按图索骥,再去入侵这个网站了,呵呵,给服务器管理员也省点事吧。