Google搜索WebShell的实际处理思路

Google 搜索 WebShell 的实际处理思路

陈小兵 {Antian365 Security Team}

借助 Google 搜索的强大功能，在有些时候可以进行投机取巧，顺手牵“鸡”。对于大多数安全爱好者来说，对入侵工具都是拿来主义，稍加修改就投入使用，在这些人中有很多人都喜欢打上自己的标签，例如本案例中的“ JFolder New4 修改版”，声明“某某到此一游”！实际上在自己攻克某台服务器并留下 Webshell 的同时也就给他人可乘之机，下面就是对 Webshell 的处理思路。

1. 通过 Google 搜索相应的 Webshell 关键字

在 Google 搜索框中输入“ JFolder New4 修改版”就会出来一些结果，如图 1 所示，出来了 8 条结果，有些时候由于关键定位等问题，可能出来的搜索结果记录相对较少，这个时候可以单击搜索记录结果下面的“将省略的结果纳入搜索范围后再重新搜索”，来获取更多的有关该关键字的搜索结果。

图 1 通过关键来搜索 Webshell

2. 处理搜索结果

虽然通过 Google 搜索出相应关键的结果，但有些时候这些网页可能打不开或者说不能运行脚本，有用的记录就是那些可以正常显示 Webshell 的记录。例如在本例中一共获取了 8 个记录，通过实际测试，如图 2 所示，在 Webshell 页面上留有“ JFolder_By_New 4 ” ，在网页的标题栏上有“JFolder New4 修改版”， Webshell 上面显示文字和标记都可以作为 Google 搜索的关键。在本次测试中一共有 4 个 Webshell 可以正常运行：

（ 1 ） http://yh***.km***.net/UPLOAD/info/1253544968234/job.jpg.jsp

（ 2 ） http://www.s***c.org/upload/zxsl/8/job.jsp

（ 3 ） http://www.s***c.org/upload/2105/job.jsp

（ 4 ） http://www.e***z.com:8080/ewzboard/cheditor/attach/SUaYQDXP.jsp

图 2 测试正常的 Webshell

3. 破解登陆密码

现在的 Webshell 一般都要求输入一个密码用来保护 Webshell 不被他人使用，因此破解登陆密码只能凭经验输入一些常见的密码进行测试，蒙对了也就进去了。

4. 漏洞测试

通过 Google 搜索到 Webshell ，那么该站点或者服务器一定存在漏洞，因此可以通过一些漏洞分析再现被攻击的过程。最为快捷的方法是目录列表，当然还有其他漏洞分析方法，例如使用 SQL 注入工具扫描 SQL 注入漏洞等。在出现 Webshell 的地址多会出目录列表漏洞，通过浏览目录列表，从中寻找其它 Webshell 以及漏洞。在寻找这种漏洞时可以层层展开，对一些文件目录进行浏览，对某些特殊的文件进行访问或者下载。以 Webshell 地址“ http://www.en****.com:8080/ewzboard/cheditor/attach/SUaYQDXP.jsp ”为例，如图 3 所示，去掉 Webshell 的具体文件名称，然后回车浏览，即可看到该目录下所有文件的列表。

图 3 目录列表漏洞测试

5. 获取 Webshell

通过地址栏中的“ attach ”可以知道该目录中的文件应该为图片等指定文件类型，在该文件夹下出现了多个 jsp 文件，通过对这些文件一一进行浏览测试，如图 4 所示，测试数个 Jsp 文件后，终于直接获取该网站的 Webshell 。该 Webshell 是 JFolder1.0 不用输入密码即可访问。

图 4 直接获取 Webshell

说明：

（ 1 ）可以使用“ site:www.xxxxx.com filetype:jsp ”来对某一个站点进行定位搜索。在 Google 中输入“ site:www.enwiz.com filetype:jsp ”进行搜索，出来了 JFolder 的两个 Webshell 结果，如图 5 所示。

（ 2 ）对站点还可以使用 Google 的其它搜索技巧进行搜索定位，进行定位搜索的目的就是获取更多的信息，用来支持进一步的渗透。如图 5 所示，记录“ JFolder New4 修改版”对应地址“ www.e****.com:8080/ewzboard/cheditor/attach/bngbxlXS.jsp ”，记录“ JFoler 1.0 ---A jsp based web folder management tool by Steven Cee ”对应地址“ www.en****.com:8080/ewzboard/cheditor/attach/SUaYQDXP.jsp ”。

图 5 使用 Google 定点搜索

6. 实施控制

   在现有可用的 Webshell 基础上上传一个自己的 Webshell ，然后对服务器进行提权和进一步的渗透控制。在渗透控制过程中，可以积极收集和分析数据，如图 6 所示，将该目录下的 Webshell 打包下载到本地，然后对这些代码进行分析和处理，收集 Webshell 中的密码，整理和完善 Webshell ，通过分析取长补短，加深理解和吸收优点！在渗透武器库中增加新获取的“装备”，在有些情况下可能会获取一些意向不到的东西。

图 6 收集 Webshell

说明：

   （ 1 ）在获取 Webshell 后，一定要记得查看网站配置文件、数据库配置文件和数据库等，如果可能，可以将这些文件或者信息保存到本地，方便再次渗透和重新控制。

（ 2 ）获取 Webshell 后，可以站在安全评估和加固的角度，对所控制的站点或者服务器进行分析，看看服务器还存在哪些漏洞，如果你是维护者，应该从哪些方面来修补漏洞和加固系统。

 

本文出自 “ simeon技术专栏” 博客