多图详解:入侵国内某知名网站记录

　　一.“战争”序幕的拉开

　　笔者最近在学习汇编，朋友推荐了一本不错的书，跑遍了附近的书店都没有找到，于是在baidu搜到了该出版社的网站，刚一打开，KV网页监控马上报告“发现病毒已经清除”如图1

　　这种网站都会被人挂上木马，幸好打过补丁了，要不系统就遭殃了！

发现有网页木马存在

　　小提示

　　网页木马的原理都是利用一些IE的漏洞来运行程序(一般都是木马程序），现在流行的网页木马如：XP＋SP2的网页木马，最近新出了一个利用'Help Control Local Zone Bypass"的网页木马，需要的朋友可以去网上搜搜，一般黑客站点都有的。勤打补丁的话像市面上公布出来的网页木马就算打开了也没有关系的！

　　看了一下这个网站支持在线购买图书，反正也没事干，那么就开始吧！

　　二.轮番轰炸

　　既然已经被人挂了木马，那就是有人进去过了，大体观察了一下，它的网站是ASP MSSQL的，没有什么论坛，看来想拿webshell不是很容易。

　　还是看看它开了什么端口吧！

　　小提示

　　菜鸟：为什么很多文章中都提到扫描端口，扫描端口到底有什么用呢？

　　答：理论的东西不想多讲了，通常说的扫描端口是指扫描TCP端口，系统中的每个网络服务要与外部通信就必须用到端口，什么意思呢？

　　就好比你跟聋哑人沟通用的是手语，不同的系统服务会用到不同的端口，比如开网站的服务器，就肯定开放了80端口，根据端口的开放情况可以判断对方开了哪些服务从而方便我们找对应的漏洞或者溢出！一会儿功夫扫描结果就出来了，图2

　　开了80，110，25，1433，3389这几个端口，110和25是发送邮件时用到的，3389不知道是先前的入侵者开的还是管理员自己管理用开的！IIS版本是5.0可能是win2K的服务器，我们登陆3389看看，为什么要登陆3389？登陆3389的目的主要是看看对方系统版本，图3

登陆3389远程控制端口查看对方操作系统

　　是windows2000服务器版的！知道了目标主机的一些基本信息，现在我们就针对这些信息来想出对应的入侵方案，110和25端口好像没什么重要的漏洞，所以先放一边，1433是MSSQL服务开放的端口，默认帐户sa不知道有没有弱口令，试试看，用SQL综合利用工具连接用户SA，密码为空试试，图4，

连接失败，密码不为空

　　提示连接失败，看来密码不为空，再试试sqlhello-SQL溢出看看对方MSSQL打没有打SP3（现在国内很多你无法想象的超级大站还存在这种低级漏洞呢！），图5

发现普通的溢出无效

　　正向和反向的溢出都试过都是不行，看来这个漏洞是没有了！剩下的只有80端口了，一般这个都是找脚本漏洞，在网站上找形如“xxx.asp?id=1"这样的页面，这个站上有很多，随便试一个在后面加个单引号看看，图6

在地址上加个单引号，产生错误了

　　一般出现像“错误 '80040e14' ”这样的都是说明存在SQL注入，那句“ODBC SQL Server Driver”一般有“ODBC”的说明是MSSQL数据库的，要是提示“JET”那就是ACCESS数据库了！我们再用工具找找看，拿出“啊D注入工具”扫扫，然后笔者用“HDSI”注入（完全是个人习惯！），在啊D中的“注入点扫描”中输入网站的URL，点击右边第一个按钮就会自动检测了，图7

用注入工具扫描

　　马上将注入点复制到HDSI中进行注入，点击“开始”，图8，

发现有漏洞，尝试注入

　　连接数据库的用户居然是SA，一条思路马上展现在眼前，就是用HDSI找到web目录，然后通过数据库备份上传ASP木马，hoho！点击HDSI左边的“列目录”开始寻找网站目录，终于被笔者找到了，图9

寻找网页目录

　　d:\xxxxhome下，马上将一个ASP木马的后缀改为txt用HDSI上传到web目录下，图10

上传文件失败了

　　提示“上传文件不成功！”怎么办？没事既然是sa的权限不能这样上传还有别的办法，试了试用xp_cmdshell直接加用户，TFTP上传，写脚本上传统统失败了！

　　笔者想，既然这个站已经被人入侵过了，那么肯定会留下一些ASP木马要是能找到一个小的ASP木马不就可以上传大马了？继续找，再次来到网站目录下挨个看文件夹，突然看到一个MDB的目录，心情开始激动了，颤抖的手点了下去。图11

尝试一下这个目录可否上传

　　里面有个guestbook.asp还有个a.asp，看看路径写着d:\xxxxhome\liuyan\mdb\，各位读者猜到这是什么了么？对了留言板！

　　我们知道了默认数据库路径而且数据库以ASP结尾，如果在留言中插入那个一句话的ASP木马提交这样就会记录在数据库中，而数据库又是ASP结尾的这样就跟一个ASP木马一样了，访问数据库web地址页面出现了乱码，图12

页面出现了乱码

　　这样就是没有做防下载处理，然后马上在留言板中留言在“主页”还有其他地方都输入了“ ＜%eval request("#")%＞ ”提交成功，用海洋c端连接发现还是不成功（可能是被过滤掉了吧！）！怎么办呢？于是用迅雷下载了这个ASP数据库改名为MDB后打开，找出管理员账号密码，图13

管理员密码居然是没有MD5加密

　　登陆留言板，经过测试发现在管理员页面的公告中可以插入木马，图14

公告是脆弱的地方，可以插入木马

　　这回成功拿到webshell了（图15 ）

拿到管理权了

　　对了忘记告诉大家刚刚跟guestbook.asp同一目录下的那个a.asp就是别人留的海洋2006的asp木马！

　　

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有