Google搜索WebShell的实际处理思路

Google搜索WebShell的实际处理思路

陈小兵 {Antian365 Security Team}

借助Google搜索的强大功能，在有些时候可以进行投机取巧，顺手牵“鸡”。对于大多数安全爱好者来说，对入侵工具都是拿来主义，稍加修改就投入使用，在这些人中有很多人都喜欢打上自己的标签，例如本案例中的“JFolder New4修改版”，声明“某某到此一游”！实际上在自己攻克某台服务器并留下Webshell的同时也就给他人可乘之机，下面就是对Webshell的处理思路。

1.通过Google搜索相应的Webshell关键字

在Google搜索框中输入“JFolder New4修改版”就会出来一些结果，如图1所示，出来了8条结果，有些时候由于关键定位等问题，可能出来的搜索结果记录相对较少，这个时候可以单击搜索记录结果下面的“将省略的结果纳入搜索范围后再重新搜索”，来获取更多的有关该关键字的搜索结果。

图1 通过关键来搜索Webshell

2.处理搜索结果

虽然通过Google搜索出相应关键的结果，但有些时候这些网页可能打不开或者说不能运行脚本，有用的记录就是那些可以正常显示Webshell的记录。例如在本例中一共获取了8个记录，通过实际测试，如图2所示，在Webshell页面上留有“JFolder_By_New4”，在网页的标题栏上有“JFolder New4修改版”，Webshell上面显示文字和标记都可以作为Google搜索的关键。在本次测试中一共有4个Webshell可以正常运行：

（1）http://yh***.km***.net/UPLOAD/info/1253544968234/job.jpg.jsp

（2）http://www.s***c.org/upload/zxsl/8/job.jsp

（3）http://www.s***c.org/upload/2105/job.jsp

（4）http://www.e***z.com:8080/ewzboard/cheditor/attach/SUaYQDXP.jsp

图2 测试正常的Webshell

3.破解登陆密码

现在的Webshell一般都要求输入一个密码用来保护Webshell不被他人使用，因此破解登陆密码只能凭经验输入一些常见的密码进行测试，蒙对了也就进去了。

4.漏洞测试

通过Google搜索到Webshell，那么该站点或者服务器一定存在漏洞，因此可以通过一些漏洞分析再现被攻击的过程。最为快捷的方法是目录列表，当然还有其他漏洞分析方法，例如使用SQL注入工具扫描SQL注入漏洞等。在出现Webshell的地址多会出目录列表漏洞，通过浏览目录列表，从中寻找其它Webshell以及漏洞。在寻找这种漏洞时可以层层展开，对一些文件目录进行浏览，对某些特殊的文件进行访问或者下载。以Webshell地址“http://www.en****.com:8080/ewzboard/cheditor/attach/SUaYQDXP.jsp”为例，如图3所示，去掉Webshell的具体文件名称，然后回车浏览，即可看到该目录下所有文件的列表。

图3 目录列表漏洞测试

5.获取Webshell

通过地址栏中的“attach”可以知道该目录中的文件应该为图片等指定文件类型，在该文件夹下出现了多个jsp文件，通过对这些文件一一进行浏览测试，如图4所示，测试数个Jsp文件后，终于直接获取该网站的Webshell。该Webshell是JFolder1.0不用输入密码即可访问。

图4 直接获取Webshell

说明：

（1）可以使用“site:www.xxxxx.com filetype:jsp”来对某一个站点进行定位搜索。在Google中输入“site:www.enwiz.com filetype:jsp”进行搜索，出来了JFolder的两个Webshell结果，如图5所示。

（2）对站点还可以使用Google的其它搜索技巧进行搜索定位，进行定位搜索的目的就是获取更多的信息，用来支持进一步的渗透。如图5所示，记录“JFolder New4修改版”对应地址“www.e****.com:8080/ewzboard/cheditor/attach/bngbxlXS.jsp”，记录“JFoler 1.0 ---A jsp based web folder management tool by Steven Cee”对应地址“www.en****.com:8080/ewzboard/cheditor/attach/SUaYQDXP.jsp”。

图5使用Google定点搜索

6.实施控制

   在现有可用的Webshell基础上上传一个自己的Webshell，然后对服务器进行提权和进一步的渗透控制。在渗透控制过程中，可以积极收集和分析数据，如图6所示，将该目录下的Webshell打包下载到本地，然后对这些代码进行分析和处理，收集Webshell中的密码，整理和完善Webshell，通过分析取长补短，加深理解和吸收优点！在渗透武器库中增加新获取的“装备”，在有些情况下可能会获取一些意向不到的东西。

图6 收集Webshell

   （1）在获取Webshell后，一定要记得查看网站配置文件、数据库配置文件和数据库等，如果可能，可以将这些文件或者信息保存到本地，方便再次渗透和重新控制。

（2）获取Webshell后，可以站在安全评估和加固的角度，对所控制的站点或者服务器进行分析，看看服务器还存在哪些漏洞，如果你是维护者，应该从哪些方面来修补漏洞和加固系统。

 本文转自 simeon2005 51CTO博客，原文链接:http://blog.51cto.com/simeon/251839