Google搜索WebShell的实际处理思路
陈小兵 {Antian365 Security Team}
借助Google搜索的强大功能,在有些时候可以进行投机取巧,顺手牵“鸡”。对于大多数安全爱好者来说,对***工具都是拿来主义,稍加修改就投入使用,在这些人中有很多人都喜欢打上自己的标签,例如本案例中的“JFolder New4修改版”,声明“某某到此一游”!实际上在自己攻克某台服务器并留下Webshell的同时也就给他人可乘之机,下面就是对Webshell的处理思路。
1.通过Google搜索相应的Webshell关键字
Google搜索框中输入“JFolder New4修改版”就会出来一些结果,如图1所示,出来了8条结果,有些时候由于关键定位等问题,可能出来的搜索结果记录相对较少,这个时候可以单击搜索记录结果下面的“将省略的结果纳入搜索范围后再重新搜索”,来获取更多的有关该关键字的搜索结果。
1 通过关键来搜索Webshell
2.处理搜索结果
虽然通过Google搜索出相应关键的结果,但有些时候这些网页可能打不开或者说不能运行脚本,有用的记录就是那些可以正常显示Webshell的记录。例如在本例中一共获取了8个记录,通过实际测试,如图2所示,在Webshell页面上留有“JFolder_By_New4,在网页的标题栏上有“JFolder New4修改版”,Webshell上面显示文字和标记都可以作为Google搜索的关键。在本次测试中一共有4Webshell可以正常运行:
1http://yh***.km***.net/UPLOAD/info/1253544968234/job.jpg.jsp
2http://www.s***c.org/upload/zxsl/8/job.jsp
3http://www.s***c.org/upload/2105/job.jsp
4http://www.e***z.com:8080/ewzboard/cheditor/attach/SUaYQDXP.jsp
2 测试正常的Webshell
3.破解登陆密码
现在的Webshell一般都要求输入一个密码用来保护Webshell不被他人使用,因此破解登陆密码只能凭经验输入一些常见的密码进行测试,蒙对了也就进去了。
4.漏洞测试
通过Google搜索到Webshell,那么该站点或者服务器一定存在漏洞,因此可以通过一些漏洞分析再现被***的过程。最为快捷的方法是目录列表,当然还有其他漏洞分析方法,例如使用SQL注入工具扫描SQL注入漏洞等。在出现Webshell的地址多会出目录列表漏洞,通过浏览目录列表,从中寻找其它Webshell以及漏洞。在寻找这种漏洞时可以层层展开,对一些文件目录进行浏览,对某些特殊的文件进行访问或者下载。以Webshell地址“http://www.en****.com:8080/ewzboard/cheditor/attach/SUaYQDXP.jsp”为例,如图3所示,去掉Webshell的具体文件名称,然后回车浏览,即可看到该目录下所有文件的列表。
3 目录列表漏洞测试
5.获取Webshell
通过地址栏中的“attach”可以知道该目录中的文件应该为图片等指定文件类型,在该文件夹下出现了多个jsp文件,通过对这些文件一一进行浏览测试,如图4所示,测试数个Jsp文件后,终于直接获取该网站的Webshell。该WebshellJFolder1.0不用输入密码即可访问。
4 直接获取Webshell
说明:
1)可以使用“site:www.xxxxx.com filetype:jsp”来对某一个站点进行定位搜索。在Google中输入“site:www.enwiz.com filetype:jsp”进行搜索,出来了JFolder的两个Webshell结果,如图5所示。
2)对站点还可以使用Google的其它搜索技巧进行搜索定位,进行定位搜索的目的就是获取更多的信息,用来支持进一步的***。如图5所示,记录“JFolder New4修改版”对应地址“www.e****.com:8080/ewzboard/cheditor/attach/bngbxlXS.jsp”,记录“JFoler 1.0 ---A jsp based web folder management tool by Steven Cee”对应地址“www.en****.com:8080/ewzboard/cheditor/attach/SUaYQDXP.jsp”。
5使用Google定点搜索
6.实施控制
   在现有可用的Webshell基础上上传一个自己的Webshell,然后对服务器进行提权和进一步的***控制。在***控制过程中,可以积极收集和分析数据,如图6所示,将该目录下的Webshell打包下载到本地,然后对这些代码进行分析和处理,收集Webshell中的密码,整理和完善Webshell,通过分析取长补短,加深理解和吸收优点!在***武器库中增加新获取的“装备”,在有些情况下可能会获取一些意向不到的东西。
6 收集Webshell
说明:
   1)在获取Webshell后,一定要记得查看网站配置文件、数据库配置文件和数据库等,如果可能,可以将这些文件或者信息保存到本地,方便再次***和重新控制。
2)获取Webshell后,可以站在安全评估和加固的角度,对所控制的站点或者服务器进行分析,看看服务器还存在哪些漏洞,如果你是维护者,应该从哪些方面来修补漏洞和加固系统。
 本文来自安天365论坛,更多精品原创文章请访问www.antian365.com