教你利用思易ASP木马追捕入侵站点

朋友的网站近日多次被黑，而且老是被改页面，让我帮忙看看问题到底出在哪里。于是我找出早就听说可以找木马的思易ASP木马追捕，传到网站上查ASP木马。果然好用，它能列出网站内的所有目录和文件，凡ASP网页中调用FSO，有写（删、建）和上传功能的，它都能给找出来，而且它比其它ASP木马追捕更好的是能查关键字，我用它找出了朋友没有查出的冰狐后门。不过，这个用于网站安全维护的辅助工具，居然没有密码认证。有些粗心的管理员可能在用过后不会想到删除，或者为了以后再用，很可能将它放在网站上——我决定搜搜看。

在百度上用网页中的提示字查找，关键字是“思易ASP木马追捕”，找到相关网页约1，260个，从有这些关键字所在文件的扩展名看，大部分是提供下这个文件载，只有少数是思易这个ASP文件。

换用“本程序由Blueeyes编写”，找到17条记录，除3条是相关代码介绍外，其它都是思易ASP追捕这个文件本身，也就是说都可利用。看来命中率还是蛮高的。

小提示：比较了两次不同的搜索结果，可以发安闲有些站点在前面曾经搜到过，而这里没有，说明网上放有这个文件的网站远不止这些，变换搜索关键字，应该可以找出更多。

好了，我们来试着入侵这些网站。真接点击查询到的网页就可以打开思易ASP木马追捕了。我随便点了一个地址，这好象是个虚拟主机，我正想要虚拟主机的代理程序呢，就选它了。

通过网站内的思易ASP木马追捕文件，网站的目录、文件全部出来了。这个思易只能看，动手下载或打开文件却不行，怎么办呢？当然是找数据库了。要是能下载，密码又是明文，哼，那就好玩了！找到数据库目录，看到数据库是ASP，试试能不能下载，可惜人家做了防下载处理，下载不了——不过角落里有一个是mdb的数据库，估计是备份用的，也许里面也有密码信息，下载了再说。下载后，打开发现居然需要密码。

只好拿出破密码的软件破密码，找开后发现有密码信息。然后再根据思易找到后台，看能不能用“'or''='”进入，不行；找上传文件看有没有漏洞，结果论坛是不常见的，根本就没有上传文件；看来虚拟主机不是那么好拿的。

无奈中在思易ASP上点选“回上级目录”点点看，天啦，天上掉陷饼啦？居然可以回到根目录，看到其它的网站，看来是管理员没有设置访问的权限，有戏哦！如图6所示。

到各个目录下看看，进入一个FTP下载目录，有不少电影，先放一边。转了几个目录，下载了些不知名的工具，还下载了一个Web.rar文件，打看一看正是这个网站系统。这个在网站上可看不到，终于让我下到了，有点收获！

继续找可以入侵的地方，转到另一个可以访问的网站，看看数据库，扩展名是MDB，下载后顺利打开，密码还是明文的，成功了一半了。马上登陆后台，用得到的用户和密码顺利进入。有添加软件栏，但有点让人失望，只能填地址，不能直接上传，文章也没有上传图片功能。倒是有一个图片栏，可以上传图片。

既然是专门的图片栏，估计对上传类型做了严格的过滤，只能试试有没有上传漏洞可用了。用老兵的上传工具测试，结果不成功，扩展名改成了JPG。果然厉害，把漏洞补了？！

只能看着电脑发呆了，决定抓个包看看，直接在网站中把ASP当图片上传，提示文件类型非法，这也在意料之中。不等我看抓包结果，眼前的景象让我不敢相信：图片地址栏中出现了一组数字，后面是ASP！

真的不敢相信，不是我自己把在先前的文件地址复制到这里，改成ASP的吧？回忆一下，没有这样做，再看看，与先前上传的文件名不同。怎么回事，试试吧。天！奇迹真的出现了，ASP执行了！

后来进去后看了一下代码，前台没有任何过滤，后台只过滤了ASP，而且由于代码错误，它只是警告，并没有停止执行，文件继续上传了。

脚本小子：相关代码如下：

 

fileExt=lcase(right(file.filename，3)) if fileExt="asp" then Response.Write"文件类型非法" end if end if randomize ranNum=int(90000*rnd)+10000

所以它实际上可以上传任何文件，警告提示只是吓唬人。

有了这个ASP后门，其它的就好办了。上传一个控制后门，果然很容易就进入了先前的目标网站。打开Coon.asp，数据库的密码出来了，通过后门程序将正在用的扩展名为ASP的数据库下载，改成MDB的，用密码打开，管理员的密码又是明文。用管理员姓名和密码，终于进入了目标网站后台。这次入侵可以说没有用上黑客工具，也没有多少技术可言，但入侵的思路与方法还是很独特的。有几个地方还是能给大家启发的，把网站的安全工具变成找肉鸡的工具，在直接不行时迂回作战，最后达成目的。可以说，黑客不仅仅是技术，有时思路也是很重要的。此外，这次入侵过程也显示，网站管理软件是一把双刃剑，因此必须采取必要的安全措施，要么加上密码认证，要么用时上传，用后删除。