2.2 Google搜索WebShell的实际处理思路
借助Google搜索的强大功能,有些时候可以进行投机取巧,顺手牵“鸡”。对于大多数安全爱好者来说,对入侵工具都是拿来主义,稍加修改就投入使用,在这些人中有很多人都喜欢打上自己的标签,例如本案例中的“JFolder New4修改版”,声明“某某到此一游”!实际上在自己攻克某台服务器并留下WebShell的同时也就给他人可乘之机,下面将对WebShell的处理思路进行探讨。
2.2.1 通过Google搜索相应的WebShell关键字
在Google搜索框中输入“JFolder New4修改版”就会出来一些结果,如图2-4所示,出来了8条结果,有些时候由于关键定位等问题,可能出来的搜索结果记录相对较少,这个时候可以单击搜索记录结果下面的“将省略的结果纳入搜索范围后再重新搜索”,来获取更多有关该关键字的搜索结果。
图2-4 通过关键来搜索WebShell
2.2.2 处理搜索结果
虽然通过Google搜索出相应关键的结果,但有些时候这些网页可能打不开或者说不能运行脚本,有用的记录就是那些可以正常显示WebShell的记录。例如在本例中一共获取了8个记录,通过实际测试,如图2-5所示,在WebShell页面上留有“JFolder_By_New4”,在网页的标题栏上有“JFolder New4修改版”,WebShell上面显示文字和标记都可以作为Google搜索的关键。在本次测试中一共有4个Webshell可以正常运行:
(1)http://yh***.km***.net/UPLOAD/info/1253544968234/job.jpg.jsp
(2)http://www.s***c.org/upload/zxsl/8/job.jsp
(3)http://www.s***c.org/upload/2105/job.jsp
(4)http://www.e***z.com:8080/ewzboard/cheditor/attach/SUaYQDXP.jsp
图2-5 测试正常的WebShell
2.2.3 破解登录密码
现在的WebShell一般都要求输入一个密码用来保护WebShell不被他人使用,因此破解登录密码只能凭经验输入一些常见的密码进行测试,蒙对了也就进去了。
2.2.4 漏洞测试
通过Google搜索到WebShell,那么该站点或者服务器一定存在漏洞,因此可以通过一些漏洞分析再现被攻击的过程。最为快捷的方法是目录列表,当然还有其他的漏洞分析方法,例如使用SQL注入工具扫描SQL注入漏洞等。在出现WebShell的地址多会出目录列表漏洞,通过浏览目录列表,从中寻找其他WebShell以及漏洞。在寻找这种漏洞时可以层层展开,对一些文件目录进行浏览,对某些特殊的文件进行访问或者下载。以WebShell地址“http://www.en****.com:8080/ewzboard/cheditor/attach/SUaYQDXP.jsp”为例,如图2-6所示,去掉WebShell的具体文件名称,然后回车浏览,即可看到该目录下所有文件的列表。
图2-6 目录列表漏洞测试
2.2.5 获取WebShell
通过地址栏中的“attach”可以知道该目录中的文件应该为图片等指定的文件类型,在该文件夹下出现了多个jsp文件,通过对这些文件一一进行浏览测试,如图2-7所示,测试数个jsp文件后,终于直接获取该网站的WebShell。该WebShell是JFolder1.0,不用输入密码即可访问。
图2-7 直接获取WebShell
说明:
(1)可以使用“site:www.xxxxx.com filetype:jsp”来对某一个站点进行定位搜索。在Google中输入“site:www.enwiz.com filetype:jsp”进行搜索,则在搜索结果中有两个JFolder的WebShell。
(2)对站点还可以使用Google的其他搜索技巧进行搜索定位,进行定位搜索的目的是获取更多的信息,用来支持进一步的渗透。如图2-8所示,记录“JFolder New4修改版”对应地址“www.e****.com:8080/ewzboard/cheditor/ attach/bngbxlXS.jsp”,记录“JFoler 1.0 ---A jsp based web folder management tool by Steven Cee”对应地址“www.en****.com:8080/ewzboard/cheditor/attach/ SUaYQDXP.jsp”。
图2-8 使用Google定点搜索
2.2.6 实施控制
在现有可用的WebShell基础上上传一个自己的WebShell,然后对服务器进行提权和进一步的渗透控制。在渗透控制过程中,可以积极收集和分析数据,如图2-9所示,将该目录下的WebShell打包下载到本地,然后对这些代码进行分析和处理,收集WebShell中的密码,整理和完善WebShell,通过分析,取长补短,加深理解和吸收优点!在渗透武器库中增加新获取的“装备”,在有些情况下可能会获取一些意向不到的东西。
图2-9 收集WebShell
2.2.7 总结与探讨
(1)在获取WebShell后,一定要记得查看网站配置文件、数据库配置文件和数据库等,如果可能,可以将这些文件或者信息保存到本地,方便再次渗透和重新控制。
(2)获取WebShell后,可以站在安全评估和加固的角度,对所控制的站点或者服务器进行分析,看看服务器还存在哪些漏洞,如果你是维护者,应该从哪些方面来修补漏洞和加固系统。