Google搜尋WebShell的實際處理思路

Google搜尋WebShell的實際處理思路

陳小兵 {Antian365 Security Team}

借助Google搜尋的強大功能，在有些時候可以進行投機取巧，順手牽“雞”。對于大多數安全愛好者來說，對入侵工具都是拿來主義，稍加修改就投入使用，在這些人中有很多人都喜歡打上自己的标簽，例如本案例中的“JFolder New4修改版”，聲明“某某到此一遊”！實際上在自己攻克某台伺服器并留下Webshell的同時也就給他人可乘之機，下面就是對Webshell的處理思路。

1.通過Google搜尋相應的Webshell關鍵字

在Google搜尋框中輸入“JFolder New4修改版”就會出來一些結果，如圖1所示，出來了8條結果，有些時候由于關鍵定位等問題，可能出來的搜尋結果記錄相對較少，這個時候可以單擊搜尋記錄結果下面的“将省略的結果納入搜尋範圍後再重新搜尋”，來擷取更多的有關該關鍵字的搜尋結果。

圖1 通過關鍵來搜尋Webshell

2.處理搜尋結果

雖然通過Google搜尋出相應關鍵的結果，但有些時候這些網頁可能打不開或者說不能運作腳本，有用的記錄就是那些可以正常顯示Webshell的記錄。例如在本例中一共擷取了8個記錄，通過實際測試，如圖2所示，在Webshell頁面上留有“JFolder_By_New4”，在網頁的标題欄上有“JFolder New4修改版”，Webshell上面顯示文字和标記都可以作為Google搜尋的關鍵。在本次測試中一共有4個Webshell可以正常運作：

（1）http://yh***.km***.net/UPLOAD/info/1253544968234/job.jpg.jsp

（2）http://www.s***c.org/upload/zxsl/8/job.jsp

（3）http://www.s***c.org/upload/2105/job.jsp

（4）http://www.e***z.com:8080/ewzboard/cheditor/attach/SUaYQDXP.jsp

圖2 測試正常的Webshell

3.破解登陸密碼

現在的Webshell一般都要求輸入一個密碼用來保護Webshell不被他人使用，是以破解登陸密碼隻能憑經驗輸入一些常見的密碼進行測試，蒙對了也就進去了。

4.漏洞測試

通過Google搜尋到Webshell，那麼該站點或者伺服器一定存在漏洞，是以可以通過一些漏洞分析再現被攻擊的過程。最為快捷的方法是目錄清單，當然還有其他漏洞分析方法，例如使用SQL注入工具掃描SQL注入漏洞等。在出現Webshell的位址多會出目錄清單漏洞，通過浏覽目錄清單，從中尋找其它Webshell以及漏洞。在尋找這種漏洞時可以層層展開，對一些檔案目錄進行浏覽，對某些特殊的檔案進行通路或者下載下傳。以Webshell位址“http://www.en****.com:8080/ewzboard/cheditor/attach/SUaYQDXP.jsp”為例，如圖3所示，去掉Webshell的具體檔案名稱，然後回車浏覽，即可看到該目錄下所有檔案的清單。

圖3 目錄清單漏洞測試

5.擷取Webshell

通過位址欄中的“attach”可以知道該目錄中的檔案應該為圖檔等指定檔案類型，在該檔案夾下出現了多個jsp檔案，通過對這些檔案一一進行浏覽測試，如圖4所示，測試數個Jsp檔案後，終于直接擷取該網站的Webshell。該Webshell是JFolder1.0不用輸入密碼即可通路。

圖4 直接擷取Webshell

說明：

（1）可以使用“site:www.xxxxx.com filetype:jsp”來對某一個站點進行定位搜尋。在Google中輸入“site:www.enwiz.com filetype:jsp”進行搜尋，出來了JFolder的兩個Webshell結果，如圖5所示。

（2）對站點還可以使用Google的其它搜尋技巧進行搜尋定位，進行定位搜尋的目的就是擷取更多的資訊，用來支援進一步的滲透。如圖5所示，記錄“JFolder New4修改版”對應位址“www.e****.com:8080/ewzboard/cheditor/attach/bngbxlXS.jsp”，記錄“JFoler 1.0 ---A jsp based web folder management tool by Steven Cee”對應位址“www.en****.com:8080/ewzboard/cheditor/attach/SUaYQDXP.jsp”。

圖5使用Google定點搜尋

6.實施控制

   在現有可用的Webshell基礎上上傳一個自己的Webshell，然後對伺服器進行提權和進一步的滲透控制。在滲透控制過程中，可以積極收集和分析資料，如圖6所示，将該目錄下的Webshell打包下載下傳到本地，然後對這些代碼進行分析和處理，收集Webshell中的密碼，整理和完善Webshell，通過分析取長補短，加深了解和吸收優點！在滲透武器庫中增加新擷取的“裝備”，在有些情況下可能會擷取一些意向不到的東西。

圖6 收集Webshell

   （1）在擷取Webshell後，一定要記得檢視網站配置檔案、資料庫配置檔案和資料庫等，如果可能，可以将這些檔案或者資訊儲存到本地，友善再次滲透和重新控制。

（2）擷取Webshell後，可以站在安全評估和加強的角度，對所控制的站點或者伺服器進行分析，看看伺服器還存在哪些漏洞，如果你是維護者，應該從哪些方面來修補漏洞和加強系統。

 本文轉自 simeon2005 51CTO部落格，原文連結:http://blog.51cto.com/simeon/251839