今天在《疯子博客》看到一篇文章,讲TNTHK小组内部版webshell存在后门。
具体说来是这样的:
如果你访问一个已经存在于某web server上的TNTHK小组内部版webshell后,依照惯例是需要输入植入者设定的访问密码的,密码正确后才可以看到webshell具体的内容,比如服务器文件操作、添加用户提权等等。
此时如果你随便输入一个密码,webshell会提示你“PassWord Error”。然后查看该页面的源码,在“PassWord Error”提示句后面,赫然显示着该webshell的正确密码。也就是说,设计者以特殊的目的,明文保留着webshell使用者为自己保留的密码。
根据文中描述,我用google搜索了下该webshell,有好几个是可以访问的,依照文中方法,果然都成功登录进去,不费吹灰之力就搞到了好几个shell,哈哈,正可谓“螳螂捕蝉,黄雀在后”啊,这黑吃黑的买卖果然来得容易来的甜美啊!
其实玩黑的人都曾遇到过类似的事情,比如从网上下载的自动化攻击工具或者扫描器,很有可能就被人捆绑有木马。你在扫描着别人服务器的时候,你的PC就已经是别人的肉鸡啦。不会写代码、不会看代码的脚本小子们辛辛苦苦搞来的鸡,其实无外乎是给背后黑手们在无偿劳动。
要么,老老实实当个乖宝宝,要么,自己学学语言看看代码吧。
原文地址:传送门。
