ASP网站漏洞解析及黑客入侵防范方法

ASP网站漏洞解析及黑客入侵防范方法

作者：黑客基地　来源：黑客基地

如何更好的达到防范黑客攻击，本人提一下个人意见！第一，免费程序不要真的就免费用，既然你可以共享原码，那么攻击者一样可以分析代码。如果在细节上注意防范，那样你站点的安全性就大大的提高了。即使出现了SQL Injection这样的漏洞，攻击者也不可能马上拿下你的站点。由于ASP的方便易用，越来越多的网站后台程序都使用ASP脚本语言。但是，由于ASP本身存在一些安全漏洞，稍不小心就会给黑客提供可乘之机。事实上，安全不仅是网管的事，编程人员也必须在某些安全细节上注意，养成良好的安全习惯，否则会给自己的网站带来巨大的安全隐患。目前，大多数网站上的ASP程序有这样那样的安全漏洞，但如果编写程序的时候注意一点的话，还是可以避免的。

1、用户名与口令被破解

攻击原理：用户名与口令，往往是黑客们最感兴趣的东西，如果被通过某种方式看到源代码，后果是严重的。

防范技巧：涉及用户名与口令的程序最好封装在服务器端，尽量少在ASP文件里出现，涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接，在理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户修改、插入、删除记录的权限。

2、验证被绕过

攻击原理：现在需要经过验证的ASP程序大多是在页面头部加一个判断语句，但这还不够，有可能被黑客绕过验证直接进入。

防范技巧：需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。

3、Inc文件泄露问题

攻击原理：当存在ASP的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。

防范技巧：程序员应该在网页发布前对它进行彻底的调试;安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对.inc文件内容进行加密，其次也可以使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。Inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称，尽量使用无规则的英文字母。

不死传说之　打造不死的ASP木马的方法

作者：黑色记忆　来源：《黑客X档案》

想不到，前几天我才发现，我千辛万苦收集的ASP木马，居然没有几个不被Kill的。常说养马千日用马一时，可要是连马都养不好，用的时候可就头疼了。众多杀软中，查杀效果比较好厉害的就是瑞星跟NOD32（测试软件:瑞星2006、卡巴斯基反病毒6.0、Kv2006、 NOD32 AntiVirusv2.51.30和McAfee VirusScan v8.0i）。

来看一下几种比较常见的ASP木马免杀方法

1.加密法

常用的是用微软的源码加密工具screnc.exe，以此来躲开杀毒软件的追杀。优点是见效明显，一般的有害代码用此法加密后，可以存在于服务器上，发挥原有的功能.缺点是代码经过加密后，是不可识别字符，自己也不认识了。

2.大小写转换法

把被杀程序里的代码，大小写稍作转换.可以躲过一般的杀毒软件。（WORD可以转换大小写，这招对ASPX木马免杀很管用）。

3.混水摸鱼法

这种方法也常奏效.fso写成"f"&vbs&"s"&vbs&"o"，运行的结果是一样的，但文件却可以逃过杀毒软件的查杀。

4.图片法或组合法

把代码保存为*.jpg,引用,这样，也可以躲过一劫.把很多个代码分配到1.ASP,2.ASP,3.ASP...中，再通过#include合并起来，可逃过and条件的杀毒软件。

5.移位,逆位,添零法

这种方法也属于加密，可以用黑客伟跟冰狐的作品。

6.ASP结构特征法

在程序开头跟结尾加上图片数据库之类的特征码，改变本身结构。无论是删除一些特征，还是颠倒顺序只要能正常使用即可。

以前用screnc.exe加密都被杀了，其实网上好多加密软件都是利用这个小东西加密的。看来这种方法现在是行不通了。现在比较流行的就是移位、逆位、添零等。有能力的朋友可以定位下杀毒软件的特征码或者自己编写修改。有时候把里边的东西文字改改换换位置跟语法也能躲过查杀。

其实我感觉破坏ASP的结构性是最好的免杀方法。也看了许多文章，其中有在ASP开头加入图片特征码躲过查杀，不过这种方法有的时候是没用的，于是便想起了可以改变成数据库结构。这种工具网上也有的，不过是用来欺骗动网后台备份的。

我以原版海阳顶端木马为例，首先把ASP木马合并成数据库（copy X.mdb+X.ASP X.ASP），使用杀毒软件查杀，可以躲过瑞星2006、卡巴斯基反病毒6.0、Kv2006、McAfee。唯独不能躲过NOD32查杀。这时候可以先用screnc.exe加密下在合并，这样NOD32（图1）也检测不出来了。最重要的是能正常使用图2？答案是可以的。



图1



图2

这一系列的操作很是烦琐，所以我写了个小程序来简化操作。就是把未加密的ASP木马改名为A.ASP，然后运行MSASP.EXE程序就可以了。最后这几种免杀的方法结合起来使用效果非常不错，大家可以亲自试验一番。



图3



图4

专家教你利用思易ASP木马追捕入侵站点

作者：db19851217　来源：赛迪网技术社区

朋友的网站近日多次被黑，而且老是被改页面，让我帮忙看看问题到底出在哪里。于是我找出早就听说可以找木马的思易ASP木马追捕，传到网站上查ASP木马。果然好用，它能列出网站内的所有目录和文件，凡ASP网页中调用FSO，有写（删、建）和上传功能的，它都能给找出来，而且它比其它ASP木马追捕更好的是能查关键字，我用它找出了朋友没有查出的冰狐后门。不过，这个用于网站安全维护的辅助工具，居然没有密码认证。有些粗心的管理员可能在用过后不会想到删除，或者为了以后再用，很可能将它放在网站上——我决定搜搜看。

在百度上用网页中的提示字查找，关键字是“思易ASP木马追捕”，找到相关网页约1，260个，从有这些关键字所在文件的扩展名看，大部分是提供下这个文件载，只有少数是思易这个ASP文件。

换用“本程序由Blueeyes编写”，找到17条记录，除3条是相关代码介绍外，其它都是思易ASP追捕这个文件本身，也就是说都可利用。看来命中率还是蛮高的。

小提示：比较了两次不同的搜索结果，可以发安闲有些站点在前面曾经搜到过，而这里没有，说明网上放有这个文件的网站远不止这些，变换搜索关键字，应该可以找出更多。

好了，我们来试着入侵这些网站。真接点击查询到的网页就可以打开思易ASP木马追捕了。我随便点了一个地址，这好象是个虚拟主机，我正想要虚拟主机的代理程序呢，就选它了。

通过网站内的思易ASP木马追捕文件，网站的目录、文件全部出来了。这个思易只能看，动手下载或打开文件却不行，怎么办呢？当然是找数据库了。要是能下载，密码又是明文，哼，那就好玩了！找到数据库目录，看到数据库是ASP，试试能不能下载，可惜人家做了防下载处理，下载不了——不过角落里有一个是mdb的数据库，估计是备份用的，也许里面也有密码信息，下载了再说。下载后，打开发现居然需要密码。

只好拿出破密码的软件破密码，找开后发现有密码信息。然后再根据思易找到后台，看能不能用“'or''='”进入，不行；找上传文件看有没有漏洞，结果论坛是不常见的，根本就没有上传文件；看来虚拟主机不是那么好拿的。

无奈中在思易ASP上点选“回上级目录”点点看，天啦，天上掉陷饼啦？居然可以回到根目录，看到其它的网站，看来是管理员没有设置访问的权限，有戏哦！如图6所示。

到各个目录下看看，进入一个FTP下载目录，有不少电影，先放一边。转了几个目录，下载了些不知名的工具，还下载了一个Web.rar文件，打看一看正是这个网站系统。这个在网站上可看不到，终于让我下到了，有点收获！

继续找可以入侵的地方，转到另一个可以访问的网站，看看数据库，扩展名是MDB，下载后顺利打开，密码还是明文的，成功了一半了。马上登陆后台，用得到的用户和密码顺利进入。有添加软件栏，但有点让人失望，只能填地址，不能直接上传，文章也没有上传图片功能。倒是有一个图片栏，可以上传图片。

既然是专门的图片栏，估计对上传类型做了严格的过滤，只能试试有没有上传漏洞可用了。用老兵的上传工具测试，结果不成功，扩展名改成了JPG。果然厉害，把漏洞补了？！

只能看着电脑发呆了，决定抓个包看看，直接在网站中把ASP当图片上传，提示文件类型非法，这也在意料之中。不等我看抓包结果，眼前的景象让我不敢相信：图片地址栏中出现了一组数字，后面是ASP！

真的不敢相信，不是我自己把在先前的文件地址复制到这里，改成ASP的吧？回忆一下，没有这样做，再看看，与先前上传的文件名不同。怎么回事，试试吧。天！奇迹真的出现了，ASP执行了！

后来进去后看了一下代码，前台没有任何过滤，后台只过滤了ASP，而且由于代码错误，它只是警告，并没有停止执行，文件继续上传了。

脚本小子：相关代码如下：

fileExt=lcase(right(file.filename，3))

if fileExt="asp" then

Response.Write"文件类型非法"

end if

end if

randomize

ranNum=int(90000*rnd)+10000

所以它实际上可以上传任何文件，警告提示只是吓唬人。

有了这个ASP后门，其它的就好办了。上传一个控制后门，果然很容易就进入了先前的目标网站。打开Coon.asp，数据库的密码出来了，通过后门程序将正在用的扩展名为ASP的数据库下载，改成MDB的，用密码打开，管理员的密码又是明文。用管理员姓名和密码，终于进入了目标网站后台。这次入侵可以说没有用上黑客工具，也没有多少技术可言，但入侵的思路与方法还是很独特的。有几个地方还是能给大家启发的，把网站的安全工具变成找肉鸡的工具，在直接不行时迂回作战，最后达成目的。可以说，黑客不仅仅是技术，有时思路也是很重要的。此外，这次入侵过程也显示，网站管理软件是一把双刃剑，因此必须采取必要的安全措施，要么加上密码认证，要么用时上传，用后删除。