安全专家教你利用思易ASP木马追捕入侵站点

朋友的网站近日多次被黑,而且老是被改页面,让我帮忙看看问题到底出在哪里。于是我找出早就听说可以找木马的思易ASP木马追捕,传到网站上查ASP木马。果然好用,它能列出网站内的所有目录和文件,凡ASP网页中调用FSO,有写(删、建)和上传功能的,它都能给找出来,而且它比其它ASP木马追捕更好的是能查关键字,我用它找出了朋友没有查出的冰狐后门。不过,这个用于网站安全维护的辅助工具,居然没有密码认证。有些粗心的管理员可能在用过后不会想到删除,或者为了以后再用,很可能将它放在网站上——我决定搜搜看。

在百度上用网页中的提示字查找,关键字是“思易ASP木马追捕”,找到相关网页约1,260个,从有这些关键字所在文件的扩展名看,大部分是提供下这个文件载,只有少数是思易这个ASP文件。

换用“本程序由Blueeyes编写”,找到17条记录,除3条是相关代码介绍外,其它都是思易ASP追捕这个文件本身,也就是说都可利用。看来命中率还是蛮高的。

小提示:比较了两次不同的搜索结果,可以发安闲有些站点在前面曾经搜到过,而这里没有,说明网上放有这个文件的网站远不止这些,变换搜索关键字,应该可以找出更多。

好了,我们来试着入侵这些网站。真接点击查询到的网页就可以打开思易ASP木马追捕了。我随便点了一个地址,这好象是个虚拟主机,我正想要虚拟主机的代理程序呢,就选它了。

通过网站内的思易ASP木马追捕文件,网站的目录、文件全部出来了。这个思易只能看,动手下载或打开文件却不行,怎么办呢?当然是找数据库了。要是能下载,密码又是明文,哼,那就好玩了!找到数据库目录,看到数据库是ASP,试试能不能下载,可惜人家做了防下载处理,下载不了——不过角落里有一个是mdb的数据库,估计是备份用的,也许里面也有密码信息,下载了再说。下载后,打开发现居然需要密码。

只好拿出破密码的软件破密码,找开后发现有密码信息。然后再根据思易找到后台,看能不能用“'or''='”进入,不行;找上传文件看有没有漏洞,结果论坛是不常见的,根本就没有上传文件;看来虚拟主机不是那么好拿的。

无奈中在思易ASP上点选“回上级目录”点点看,天啦,天上掉陷饼啦?居然可以回到根目录,看到其它的网站,看来是管理员没有设置访问的权限,有戏哦!如图6所示。

到各个目录下看看,进入一个FTP下载目录,有不少电影,先放一边。转了几个目录,下载了些不知名的工具,还下载了一个Web.rar文件,打看一看正是这个网站系统。这个在网站上可看不到,终于让我下到了,有点收获!

继续找可以入侵的地方,转到另一个可以访问的网站,看看数据库,扩展名是MDB,下载后顺利打开,密码还是明文的,成功了一半了。马上登陆后台,用得到的用户和密码顺利进入。有添加软件栏,但有点让人失望,只能填地址,不能直接上传,文章也没有上传图片功能。倒是有一个图片栏,可以上传图片。

相关推荐