黑客实录(2)——控制服务器抹杀色情资源
安全维护
黑客代号:三石哥
擅长技术:指定Web网站入侵
本期知识点:上传木马到服务器和PCAnywhere工具的漏洞利用
故事背景:三石哥顺利完成第一个任务入侵办假证网站,向小小索要第二个任务。第二个任务的难度高了不少,要求三石哥入侵保存大量色情内容的某服务器……
“下一个任务是什么?”三石哥在QQ上询问小小。为了不让三石哥认出自己,小小使用新申请的QQ号与三石哥联系:“第二个任务比较难,某台服务器上有大量的色情内容,你的任务就是控制该服务器,删除所有的色情内容。”
三石哥从小小那里得到一个免费色情网站,里面的内容不堪入目,有的页面还挂有网页木马。该网站是基于PHP架构的,这对三石哥而言是轻车熟路(编者注:下文以黑客营第一纵队资料库域名blackbap.org代替色情网站的域名)。
上传木马到服务器
网站安全比较薄弱,不一会三石哥就找到了漏洞,利用漏洞成功获得了管理员的账号和密码,这个过程出奇的顺利。接下来,三石哥要上传木马控制服务器,查看了一下服务器配置环境,是“Apache/2.2.6 (Win32) PHP/5.2.5”。
这个配置,上传webshell木马比较合适,成功上传webshell木马后,在webshell的命令行中输入“net user”(图1),查看服务器现有的用户名,再用“net user XX mima /add”命令添加一个用户名为XX、密码为mima的账号,然后利用系统自带的“远程桌面管理”远程登录,结果提示权限不够。webshell木马得到的是users权限,这个权限比较低,三石哥决定将权限提高到admin。
三石哥在服务器的E盘中,发现了PCAnywhere工具——它是一款服务器远程管理工具,三石哥眼前一亮,版本号为12的PCAnywhere有一个重大的缺陷(图2),它的登录信息存放在“C:\Documents and Settings\All Users\ApplicationData\Symantec\pcAnywhere”中,该路径下有一个名为“Hosts”的文件夹。里面保存有很多.cif文件,这些文件就是登录PCAnywhere产生的信息文件。
三石哥伪造了一个.cif文件,覆盖一个.cif文件,利用PCAnywhere登录,就这样成功伪装成服务器管理员获得服务器的管理员权限。剩下要做的就是删除服务器上所有的色情内容了……
延伸阅读>>
什么是webshell木马
webshell这个名称非常专业,它其实是一种服务器操作权限,例如网管在线编辑网页脚本、上传下载文件、查看数据库等,webshell木马则是获取服务器操作权限的黑客工具,有的时候也把webshell木马称为网站后门。
webshell木马如何上传
获得网站管理员账号和密码后,登录后台找到管理功能,里面一般都有上传下载文件的选项,通过该选项直接上传webshell木马即可。需要注意的是,很多建站程序只允许上传合法文件类型,例如bbsxp后台添加的是ASP类型, ewebeditor后台添加的是ASP、ASA类型,这个时候怎么办呢?没有关系,我们可以有针对性地修改webshell木马的后缀名,然后再上传,木马不会因为修改了后缀名而失效。
通过工具上传webshell木马
手工上传webshell木马,还是有一定难度的,有没有什么黑客工具可以替代手工操作呢?当然是有的,例如通过FTP工具上传webshell木马到网站目录中,通过《动网上传批拿webshell 》等傻瓜化工具自动在目标网站中寻找可以上传木马的地方。具体操作步骤请见数动连线安全板块。