0X01 情况描述
直接打开网站网址发现有一闪而过的“博彩”页面,burpsuite抓包可发现博彩的网页代码。之后调到xxx.com/index.htm主页。
访问xxx.com/index.htm 则不会出现博彩网页。
其次,主页部分显示出错,初步断定是JS的问题。
0X02 初步分析
在网站的/untils/conn文件夹发现两万多个博彩页面,进行删除。情况依旧存在。
下载程序源码,对比了web.config的内容,进行恢复之后,抓不到“博彩”页面的数据包了,但是,依旧存在一闪而过的“博彩”页面。根目录也没有其他文件。
询问大牛,查看相关资料找到了问题所在。
资料地址: http://lcx.cc/?i=2416
0X03 确定原因
根据资料所写,找到了四个相关文件:
c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini
c:\WINDOWS\system32\drivers\xlkfs.sys
通过这四个文件,实现了对挂黑链文件的驱动级隐藏。
在服务器C:\windows\目录发现三个文件,
查看xlkfs.ini
这三个文件即为产生跳转功能的网页文件。
0X04 处理过程
首先删除上述四个文件(删除之前,记录xlkfs.ini)
重启服务器,再查看网站根目录,发现隐藏的三个文件出现了,删除,清理缓存即可。
PS:相关文件请查看附件。
0X05 原因分析&总结
网站架构为 WIN2008+IIS7.5+ASPX+ACCESS 可以很简单的拿到shell,但是各种提权姿势无果。推测唯一一种可能就是3389爆破。密码有规律,是新开服务器的默认密码。
通过资料得知,此手法为五六年前流行的挂黑链方式。具体操作请查看所给的资料链接。
转载自:http://izilong.net/index.php/archives/889/