专家教你利用思易ASP木马追捕入侵站点
2009-05-12 14:40:27来源:未知 阅读 ()
朋友的网站近日多次被黑,而且老是被改页面,让我帮忙看看问题到底出在哪里。于是我找出早就听说可以找木马的思易ASP木马追捕,传到网站上查ASP木马。果然好用,它能列出网站内的所有目录和文件,凡ASP网页中调用FSO,有写(删、建)和上传功能的,它都能给找出来,而且它比其它ASP木马追捕更好的是能查关键字,我用它找出了朋友没有查出的冰狐后门。不过,这个用于网站安全维护的辅助工具,居然没有密码认证。有些粗心的管理员可能在用过后不会想到删除,或者为了以后再用,很可能将它放在网站上——我决定搜搜看。
在百度上用网页中的提示字查找,关键字是“思易ASP木马追捕”,找到相关网页约1,260个,从有这些关键字所在文件的扩展名看,大部分是提供下这个文件载,只有少数是思易这个ASP文件。
换用“本程序由Blueeyes编写”,找到17条记录,除3条是相关代码介绍外,其它都是思易ASP追捕这个文件本身,也就是说都可利用。看来命中率还是蛮高的。
小提示:比较了两次不同的搜索结果,可以发安闲有些站点在前面曾经搜到过,而这里没有,说明网上放有这个文件的网站远不止这些,变换搜索关键字,应该可以找出更多。
好了,我们来试着入侵这些网站。真接点击查询到的网页就可以打开思易ASP木马追捕了。我随便点了一个地址,这好象是个虚拟主机,我正想要虚拟主机的代理程序呢,就选它了。
通过网站内的思易ASP木马追捕文件,网站的目录、文件全部出来了。这个思易只能看,动手下载或打开文件却不行,怎么办呢?当然是找数据库了。要是能下载,密码又是明文,哼,那就好玩了!找到数据库目录,看到数据库是ASP,试试能不能下载,可惜人家做了防下载处理,下载不了——不过角落里有一个是mdb的数据库,估计是备份用的,也许里面也有密码信息,下载了再说。下载后,打开发现居然需要密码。
只好拿出破密码的软件破密码,找开后发现有密码信息。然后再根据思易找到后台,看能不能用“'or''='”进入,不行;找上传文件看有没有漏洞,结果论坛是不常见的,根本就没有上传文件;看来虚拟主机不是那么好拿的。
无奈中在思易ASP上点选“回上级目录”点点看,天啦,天上掉陷饼啦?居然可以回到根目录,看到其它的网站,看来是管理员没有设置访问的权限,有戏哦!如图6所示。
到各个目录下看看,进入一个FTP下载目录,有不少电影,先放一边。转了几个目录,下载了些不知名的工具,还下载了一个Web.rar文件,打看一看正是这个网站系统。这个在网站上可看不到,终于让我下到了,有点收获!
继续找可以入侵的地方,转到另一个可以访问的网站,看看数据库,扩展名是MDB,下载后顺利打开,密码还是明文的,成功了一半了。马上登陆后台,用得到的用户和密码顺利进入。有添加软件栏,但有点让人失望,只能填地址,不能直接上传,文章也没有上传图片功能。倒是有一个图片栏,可以上传图片。
既然是专门的图片栏,估计对上传类型做了严格的过滤,只能试试有没有上传漏洞可用了。用老兵的上传工具测试,结果不成功,扩展名改成了JPG。果然厉害,把漏洞补了?!
只能看着电脑发呆了,决定抓个包看看,直接在网站中把ASP当图片上传,提示文件类型非法,这也在意料之中。不等我看抓包结果,眼前的景象让我不敢相信:图片地址栏中出现了一组数字,后面是ASP!
真的不敢相信,不是我自己把在先前的文件地址复制到这里,改成ASP的吧?回忆一下,没有这样做,再看看,与先前上传的文件名不同。怎么回事,试试吧。天!奇迹真的出现了,ASP执行了!
后来进去后看了一下代码,前台没有任何过滤,后台只过滤了ASP,而且由于代码错误,它只是警告,并没有停止执行,文件继续上传了。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
- ASP网站中数据库被挂木马的解决方案 2020-01-22
- ASP如何在IIS创建WEB站点的函数 2019-09-23
- ASP设置指定站点CPU最大使用程度 2019-08-23
- 防范ASP木马 2019-05-23
- 查找ASP木马的程序 2019-05-18
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash