7.6 一句话密码破解获取某网站WebShell

一句话后门是Web渗透中用得最多的必备工具,目前流行的一句话后门有ASP、ASP.NET、JSP和PHP 4种类型。

一句话后门利用的实质就是通过执行SQL语句、添加或者更改字段内容等操作,在数据库表或者相应字段插入“>%execute request("pass")%<”、“>%evalrequest ("pass")%<”、“>?php eval($_POST[pass])?<”、“>?php@eval($_POST[pass])?<”、“>%@ PageLanguage="Jscript"%<”、“>%eval(Request.Item["pass"],"unsafe");%<”等代码,然后通过“中国菜刀”、Lake一句话后门客户端等工具进行连接。只需要知道上述代码插入的具体文件及连接密码,即可进行一些WebShell的操作,是基于B/S结构的架构。一句话后门是黑客入侵成功的标志和常用后门,在渗透过程中,如果发现一句话后门,就可以通过对一句话后门进行破解,从而获得网站的权限。

7.6.1 获取后台权限

对某网站进行安全检测。通过WVS等扫描工具对目标站点进行扫描,没有发现可以利用的明显漏洞,通过社工猜测出网站管理员admin的密码,如图7-37所示,成功进入后台。

0278-1

图7-37 登录WordPress后台

7.6.2 尝试提权

获取管理员权限后,通过查看和编辑页面内容,在页面内容中插入一句话后门代码,如图7-38所示,无法保存修改后的文件,该文件及文件夹无写权限。

0278-2

图7-38 尝试向网站写入文件

在上传图像模块选择图像文件进行上传,如图7-39所示,无法上传文件。与前面一样,文件夹设置了权限,看来WordPress的常见提权方法是行不通的。

0279-1

图7-39 无法上传文件

7.6.3 列目录及文件漏洞

该目标站点还存在列目录及文件漏洞,如图7-40所示,可以查看图像文件等。在“images”文件夹下发现gif.php文件,因为该文件可以通过浏览器访问,大小为27字节,所以该文件为一句话后门的可能性极高。

0279-2

图7-40 列目录及文件漏洞

7.6.4 一句话密码破解

打开ASP PHP ASPX一句话密码暴力猜解工具,如图7-41所示,在“地址”文本框中输入目标网站地址,发现的一句话后门文件的地址为“http://www.somesite.com/ images/gif.php”。选择全部字符,设置位数为“3”,脚本为“php”,单击“破解”按钮,开始对一句话后门进行破解。

0280-1

图7-41 对一句话后门密码进行破解

7.6.5 获取目标WebShell权限

在“中国菜刀”中新增一个后门记录,输入地址和密码,如图7-42所示,成功获取目标站点的权限。

0280-2

图7-42 获取目标WebShell的权限

7.6.6 小结

通过本次渗透,我们熟悉和掌握了WordPress管理员提权的方法。在获取管理员权限后,可以通过修改页面文件插入一句话后门直接获取WebShell,还可以直接上传后门文件获取WebShell。

在权限设置严格的情况下,可以通过其他漏洞获取权限,如文件名称和目录信息泄露等。在本例中,找到早期入侵者留下的Shell,通过破解一句话后门成功获取网站权限。