某省政府電子政務(wù)網(wǎng)案例:
一天上午�����,某省政府工作人員打來(lái)電話����,“省政府的電子政務(wù)網(wǎng)被黑了”。安信華攻防人員接到通知后迅速查找問(wèn)題原因���,首先在用戶Web防火墻最近一個(gè)星期的攻擊日志里��,并沒(méi)發(fā)現(xiàn)明顯的如SQL注入���,密碼暴力破解����,危險(xiǎn)的文件上傳的攻擊現(xiàn)象��。
是不是服務(wù)器已經(jīng)被黑客留下了后門(mén)?帶著這個(gè)疑問(wèn)����,攻防小組人員用WebShell監(jiān)測(cè)工具SpyBackDoorScanner對(duì)服務(wù)器網(wǎng)站所在的磁盤(pán)進(jìn)行了全面掃描,掃描中發(fā)現(xiàn)了好幾個(gè)可疑文件���,再經(jīng)手工排查����,確認(rèn)是WebShell木馬后門(mén)��。更為嚴(yán)重的是黑客對(duì)木馬文件的代碼進(jìn)行了加密處理��,繞過(guò)了Web防火墻和殺毒軟件的查殺���,并且木馬文件建立的時(shí)間在架設(shè)安全設(shè)備之前����,甚至�,有幾個(gè)木馬文件一年前就存在了。
最后����,攻防小組人員在清理了木馬后門(mén)后,為了防止其他原因����,又對(duì)網(wǎng)站進(jìn)行了一個(gè)月的跟蹤監(jiān)控,再未發(fā)現(xiàn)網(wǎng)站再被掛廣告暗鏈的情況�。
1. WebShell的危害
WebShell就是以asp、php�、jsp或者cgi等網(wǎng)頁(yè)文件形式存在的─種命令執(zhí)行環(huán)境,也可以稱為─種網(wǎng)頁(yè)后門(mén)���。黑客在入侵了網(wǎng)站后���,通常會(huì)將這些asp、php��、aspx、jsp后門(mén)文件與網(wǎng)站服務(wù)器WEB目錄下正常的網(wǎng)頁(yè)文件混在─起����,然后就可以使用瀏覽器來(lái)訪問(wèn)這些后門(mén),得到命令執(zhí)行環(huán)境��,以達(dá)到控制網(wǎng)站服務(wù)器的目的(可以上傳下載文件����、查看數(shù)據(jù)庫(kù)、執(zhí)行任意程序命令等)�。
2. 后臺(tái)得到WebShell的常見(jiàn)方法
直接上傳獲得WebShell:因過(guò)濾上傳文件不嚴(yán),導(dǎo)致用戶可以直接上傳WebShell到網(wǎng)站任意可寫(xiě)目錄中����,從而拿到網(wǎng)站的管理員控制權(quán)限;
添加修改上傳類型:現(xiàn)在很多腳本程序上傳模塊不是只允許上傳合法文件類型,大多數(shù)的系統(tǒng)是允許添加上傳類型;
利用后臺(tái)管理功能寫(xiě)入WebShell:進(jìn)入后臺(tái)后還可以通過(guò)修改相關(guān)文件來(lái)寫(xiě)入WebShell;
利用后臺(tái)管理向配置文件寫(xiě)WebShell;
利用后臺(tái)數(shù)據(jù)庫(kù)備份及恢復(fù)獲得WebShell:主要是利用后臺(tái)對(duì)access數(shù)據(jù)庫(kù)的“備份數(shù)據(jù)庫(kù)”或“恢復(fù)數(shù)據(jù)庫(kù)”功能�,“備份的數(shù)據(jù)庫(kù)路徑”等變量沒(méi)有過(guò)濾導(dǎo)致可以把任意文件后綴改為asp,從而得到WebShell;
后臺(tái)需要有mysql數(shù)據(jù)查詢功能,我們就可以利用它執(zhí)行SELECT ... in TO OUTFILE查詢輸出php文件�����,因?yàn)樗械臄?shù)據(jù)是存放在mysql里的��,所以我們可以通過(guò)正常手段把我們的WebShell代碼插入mysql在利用SELECT ... in TO OUTFILE語(yǔ)句導(dǎo)出shell;
