信息安全学员笔记:动网论坛获取SHELL实验报告

来源:西普学苑 作者:西普信息安全学员 发布时间:2017-01-04 16:37:00



   

概述.... 3

实验环境.... 4

1.    安装IIS服务... 4

2.    添加动网论坛网站... 4

3.    下载中国菜刀网站管理软件... 4

实验原理.... 5

1.    获取论坛管理员账户信息原理... 5

2.    获取SHELL原理... 5

实验过程.... 7

1.    获取目标网站页面与文件的路径... 7

2.    下载查看论坛网站数据库文件... 7

3.    登录论坛网站管理后... 9

4.    在后台管理内提交木马... 10

5.    利用数据库备份功能生成ASP木马文件... 11

6.    利用菜刀工具连接生成的ASP木马文件... 11

代码&语句解析.... 14

1.    一句话木马... 14

实验总结.... 15

1.    获取动网论坛SHELL实验体会... 15

2.    遇到问题及解决... 15

3.    获取动网论坛SHELL实验总结... 15

4.    优化防御措施... 16

团队分工情况.... 16




概述

       按照动网论坛获取SHELL实验的任务要求,信息安全三班1组自20161212日至20161213日期间,对动网论坛获取SHELL进行实验,得此分析报告。

 

实验环境

此次实验环境使用搭建好的环境,故只做简单介绍。

1.     安装IIS服务

2.     添加动网论坛网站

3.     下载中国菜刀网站管理软件

 


 

实验原理

       此处说明一下需要提前理解的实验原理,整理下思路,详细过程的说明请见实验过程。

1.      获取论坛管理员账户信息原理

获取论坛管理员账户信息有很多办法,比如SQL注入爆数据库信息、社会工程学等。最省时省力的办法是浏览器直接输入论坛数据库路径(猜测或网上查看该论坛默认数据库路径)测试该论坛数据库是否可直接下载到本地进而查看管理员账户信息。但是下载数据库需要知道数据库路径且最关键的是该数据库文件未添加任何限制权限才能成功下载数据库并查看管理员账户信息。

此次实验直接测试动网论坛的默认数据库路径,成功过下载数据库获取到管理员的用户名与密码。

2.      获取SHELL原理

Ø  登录动网论坛后台寻找可提交信息的位置(并且提交的信息会进入论坛数据库)。

登录后台看到脏话过滤设置,进入脏话过滤设置页面可看到脏话过滤的内容及提交功能,脏话过滤的设置内容提交后是进入数据库的,所以此提交信息的位置可用。

Ø  提交一句话木马

在脏话过滤设置框里输入一句话木马,再用菜刀工具连接一句话木马获取SHELL,即可任意操作目标网站目录下的文件。

Ø  利用数据库备份功能生成一句话木马的ASP文件

因为上一步将一句话木马提交到了脏话过滤策略中,而脏话过滤策略在数据库中。

所以使用后台管理的数据库备份功能,即可将正常的包含脏话过滤策略(也就是包含已提交的一句话木马)的数据库整个备份为ASP文件,当执行或连接此ASP文件时,就会识别其中的一句话木马的ASP语句。

Ø  使用菜刀工具连接包含一句话木马的ASP文件

上一步生成了包含一句话木马的ASP文件,用菜刀工具连接此ASP文件即可连接到该网站目录进行任意操作。

 

 


 

实验过程

1.      获取目标网站页面与文件的路径

使用御剑工具扫描目标网站,域名栏输入目标网站地址,域名栏下面的条件参数默认即可,点开始扫描,获取到数据库文件路径与后台登录页面地址。(如图1


- 1 -



2.      下载查看论坛网站数据库文件

在浏览器地址栏输入刚才查到的数据库文件路径,访问数据库文件,点保存文件,即下载数据库文件。(如图2


- 2 -


下载完成后打开数据库文件,看到有Dv_admin表,推断是管理员账户信息表,有用户名密码字段,用户名(username)为admin,密码(password)内容经过MD5解密后得到密码为admin123。(如图3


- 3-

还能看到一个名为Dv_user的表,表里有用户名和密码字段,看到第一个用户名为admin,可能是管理员小号之类的,先将这条用户名与密码记下来,用户名(username)为admin,密码(password)经md5解密后确认为admin888。(如图4


- 4-


3.      登录论坛网站管理后台

打开后台登录页面,地址在第一步已经扫描出来([ip]/admin_login.asp),输入查到的管理员用户名与密码。因为有两个用户名和密码需要输入,正好输入查到的两组管理员帐号密码,前台的用户名密码使用在Dv_user表里查到的admin/admin888,用户名和密码使用在Dv_admin表里查到的admin/admin123。(如图5


- 5-

4.      在后台管理内提交木马

登录到后台管理中提交木马,首先要找到一个能提交信息并且所提交的信息是进入数据库的(这样才能在后面步骤中通过备份数据库功能将数据库文件备份为ASP文件从而使用菜刀连接ASP木马),浏览左侧菜单栏,选一个符合此条件并且你喜欢的,比如脏话过滤设置。在过滤框内写入一句话木马(一句话木马在代码解析部分有详细解释说明)。(如图6


- 6 -

5.      利用数据库备份功能生成ASP木马文件

上一步提交了了一句话木马,让木马进到了数据库,但是数据库文件不能当作木马来连接操作,所以要利用管理后台的数据库备份功能将包含一句话木马代码的数据库文件备份为ASP文件。

选择管理后台左侧菜单的备份数据库,当前数据库路径不用改,因为脏话过滤的数据就是保存在此时路径指示的数据库文件中,备份数据库名称要改扩展名为asp,名字任意,比如:4444.asp。别忘了复制一下备份数据库目录(之后用菜刀连接此ASP文件要用这目录)。(如图7

- 7 -

点确定后就将包含一句话木马的数据库文件备份(生成)了一份ASP文件。

6.      利用菜刀工具连接生成的ASP木马文件

上面过程已生成了包含木马代码的ASP文件,现在利用菜刀工具连接ASP木马文件。

下载菜刀工具,打开菜刀软件。(如图8

- 8 -

菜刀软件空白处右键点添加,弹出添加连接的设置对话框。(如图9


- 9 -

在地址栏输入生成的ASP木马完整路径,在地址栏右边的空格输入一句话木马里设置的密码(一句话木马在后面的代码解析里有详细说明),并在配置框里输入连接数据库需要的配置信息。最后选择脚本类型为ASP。(如图10


- 10 -

点击添加后出现连接ASP木马的条目信息。(如图11

- 11 -

双击这条连接信息出现连接到目标网站内容目录的窗口,即可进行添加、删除、修改等操作。(如图12

- 12 -

(至此,动网论坛获取SHELL实验的实验过程结束。)

 

代码&语句解析

1.     一句话木马

一句话木马是一个代码内容非常少的木马,只有一句代码。(如图13

- 13 -

一句话木马利用eval函数连接目标SHELL,图中的“bkbk”就是自定义的密码,所以之前实验过程中在菜刀工具输入的密码就是这个“bkbk”。这是ASP的代码,所以文件扩展名为asp

 

 

实验总结

1.     获取动网论坛SHELL实验体会

此次获取动网论坛SHELL的实验让我们体会到:

Ø     对于学习:获取网站SHELL的方法非常灵活,可以寻找写入木马的位置,也可利用文件上传漏洞传木马等,要灵活使用。

Ø     对于安全:安全要做的严谨,任何一个细节没做检测都会导致网站甚至整个服务器被攻陷,何况做了检测也很可能检测的不全面,不管是此实验中涉及的一句话木马,还是其他文件上传等漏洞,都在后台管理界面有很多可利用(未做检测过滤或检测过滤不严谨)的位置。

2.     遇到问题及解决

第一次写一句话木马时忘记给密码加上双引号了,只是菜刀连接木马文件报错,后来加上双引号即成功连接。

3.     获取动网论坛SHELL实验总结

通过动网论坛获取SHELL的实验看出:

此站点对于数据库文件未做任何保护措施;

后台管理界面不少地方都可提交信息至数据库中,导致木马顺利写入数据库文件;

数据库备份功能对备份(生成)的文件未做任何检测,导致ASP木马文件生效;

后台管理有部分上传文件功能检测做的不到位,只是木马文件可成功上传;

站点虽然做了不少防SQL注入的工作,但是依然存在注入点;

       可评定此站点安全等级为“非常危险”。

4.     优化防御措施

Ø  数据库文件:对数据库文件添加权限并加密,更改数据库文件路径;

Ø  后台管理:后台管理中提交的信息置于其他数据库文件中,且加权限并加密,更改

文件路径;

Ø  对后台管理的所有上传文件功能进行完善,防止木马文件通过各种手段上传;

Ø  数据库备份:对数据库备份的目标文件文件名在提交确认备份信息时进行检测,并

在服务器端检测备份(生成)的文件扩展名与文件类型,阻止木马文件生效。

 

团队分工情况

西普安全三班1

                                                                                                         20161213

 

(至此,报告结束。)

信息安全精英就业班

更多免费资源请关注

  • 微信公众号

  • 新浪官微

认证中心

  • CISM(国家注册信息安

  • CISSP(国际注册信息

  • NISP(国家信息安全水

  • CISP(注册信息安全专