瞬间掌控 黑客如何谋取虚拟主机权限

2、上传ASP木马
 
　　将一个asp木马上传到测试虚拟主机，这里以海阳顶瑞网的ASP木马2006版为例，上传完毕后在浏览器中输入http://piao.w12.***.com/2006.asp，出现ASP木马的登陆界面（海阳顶瑞网ASP木马已经被各大杀毒软件查杀，可以正常运行，表示服务器没有安装任何杀毒软件，可见服务器管理员的安全意识不高）。我们输入ASP木马默认的登陆密码“lcxMarcos”，登陆成功。如果管理员没有对虚拟主机用户作限制，就可以在ASP木马中查看系统信息、服务。如果没有对FSO、Shell.Application等组件进行设置，则可以浏览服务器硬盘上的所有文件，甚至在“命令提示符”中执行任意命令（如图2）。

图2 在虚拟主机上运行ASP木马

　　二、获取更高权限，建立隐藏帐户
 
　　成功运行ASP木马后，我们可以从这里找到突破口，从而获取更高的权限。由于虚拟主机系统建立用户，绑定域名等自动化操作都需要很高的权限，因此虚拟主机系统在安装的同时会为自己创建一个管理员帐户，用这个帐户来完成程序的运行。如果服务器设置不当，我们获取的Webshell就有可能以这个管理员帐户的权限来执行其他的命令。