Tony.Wu's Blog

Linux / Freebsd / Windows Server / network / WEB3.0 / DevOps / Cloud / BigData / K8S / AI

資安防護

Webshell後門程式,可傳檔沒法執行時找以下可寫目錄可執行目錄

Bytony

8 月 22, 2013

WebShell:

簡單就是一個asp或php木馬的後門程式。

該程式就是撰寫asp或php語法並已經添加好各種可以控制的指令撰寫出來的一個Web介面的檔案總管(具有FSO功能)。

利用各種漏洞將此文件上傳放置於Web Server的根目錄中,與正常的asp或php程式檔案混在一起。然後攻擊者就可以用Web的方式透過該asp或php木馬來控制Web Server,包含上下載文件、新增帳號、添加其它木馬或添加<iFrame>於網頁中特稱為「掛馬」 。

##CONTINUE##

FileSystemObject(FSO):檔案系統物件 (FSO) 模型提供用來處理資料夾及檔案的物件架構工具。此模型可讓您使用熟悉的 object.method 語法及大量的屬性 (Property)、方法及事件來處理資料夾及檔案。您也可採用傳統 Visual Basic 陳述式及指令。

FSO 模型使您的應用程式能夠建立、變更、移動及刪除資料夾,或決定是否有特定資料夾存在及存在於何處。而且還能讓您取得關於資料夾的資訊,諸如資料夾名稱及建立或最後修改的日期。

參考資料:

使用 FileSystemObject 存取檔案

使用 ASP 與 Scripting.FileSystemObject 來建立動態目錄頁

如何使用 ASP 建立檔案檢視器

如何使用 ASP 建立目錄檢視器

--------------------------------------------------------------------

為何攻擊者想要使用 WebShell:

  • 因透過80 port 所以可以穿越防火牆。
  • 因為是在Web Server上透過asp或php程式來執行指令或語法,所以閘道端的防禦設備不會攔截。
  • 不會在閘道端、系統留下LOG,只有Web Server與DB上的LOG會出現該asp或php程式有執行的記錄,但權責分工之下(網頁程式設計者、資料庫管理師、Web Server管理員、資安人員)沒有經驗的管理者或團隊很難判讀LOG。
  • Web植入木馬(掛馬)通常都是只有把植入的語法拿掉而已,如果沒有刪除「真正在運作的WebShell」,那再次掛馬指日可待。

攻擊者使用WebShell的缺點:

最關鍵的步驟為:如何把WebShell上傳至目標Web Server的目錄之下。

常利用的手法:

  • 利用Web Server本身的漏洞。(最好用手法)
  • 利用SQL Injection的漏洞搭配其他上傳指令或tFTP工具。(最常見手法)
  • 利用XSS語法使網頁設計師的電腦中木馬,使其在更新網頁檔案時一並更新進去Web Server。

攻擊者入侵某一個網站順利得到WebShell之後,並不會把它殺掉。也不會把該WebShell的某些關鍵字加入排除搜尋引擎建立Index的索引檔。(因為這是Web管理者要做的事)

所以只要不是才剛剛入侵成功的WebShell(因為搜尋引擎沒有資料),通常透過「WebShell的某些關鍵字」就可找到「前人留下的智慧與寶藏」。

註:如果是剛剛才入侵成功的網站,可用「網頁名稱與檔案建立日期」來猜測,搭配砍站工具或Web掃描工具就可發現「多出來」的蛛絲馬跡。

常見 WebShell 檔名: (註:攻擊者可改檔名)

  • diy.asp (網站小助手)
  • wei.asp
  • 2006.asp
  • newasp.asp
  • myup.asp
  • Log.asp
  • phpspy.php

recycler、temp目錄就不說了,特別是有aspx的許可權,找不到exe執行目錄,都不好意思:

1	C:\windows\system32\spool\PRINTERS\
2	C:\WINDOWS\IIS Temporary Compressed Files\
3	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET Files
4	C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files
5	C:\Documents and Settings\NetworkService\Local Settings\Temp
6	C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
7	C:\Windwos\system32\inetsrv\data\

其他虛擬主機的可寫目錄:

1	C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
2	C:\php\PEAR\
3	C:\Program Files\Zend\ZendOptimizer-3.3.0\
4	C:\Program Files\Common Files\
5	C:\7i24.com\iissafe\log\
6	C:\WINDOWS\7i24.com\FreeHost
7	C:\RECYCLER
8	C:\windows\temp\

 

By tony

自由軟體愛好者~喜歡不斷的思考各種問題,有新的事物都會想去學習嘗試 做實驗並熱衷研究 沒有所謂頂天的技術 只有謙虛及不斷的學習 精進專業,本站主要以分享系統及網路相關知識、資源而建立。 Github http://stnet253.github.io

Related Post

好文轉貼 資安防護

Linux的10個最危險命令

5 月 18, 2022 tony
資安防護

什麼是社會工程攻擊?

5 月 16, 2022 tony
資安防護

centos kdevtmpfsi挖礦病毒 清除

6 月 23, 2021 tony

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料

You missed

Kubernetes

Telepresence 在本地除錯 Kubernetes 微服務

2023 年 06 月 22 日 tony
Kubernetes

k8s 資源管理工具ktop

2023 年 05 月 04 日 tony
DevOps

Harbor 建立私有helm倉庫及ArgoCD拉取設定

2023 年 03 月 22 日 tony
Kubernetes

GKE 安裝 Cilium Service Mesh 1.3.0

2023 年 02 月 18 日 tony