4.上传大马

　　接下来利用该小马上传一个功能比较齐全的大马，上传成功。在浏览器中输入该网页木马的URL地址，正常运行，输入木马登录进入网站的根目录。(图8)

　　5.利用思路

　　笔者操作该Webshell，发现可以浏览服务器的所有盘符，可以进入c:\windows\system32系统目录，在C:\Program Files目录下发现了SERV-U。可见该服务的安全设置隐患很大，同时可能存在第三方软件漏洞。通过进一步的渗透提权拿下该服务器应该很容易。当然笔者的安全测试到此结束，最后给管理员留言修补漏洞后走人。

　　二、事后反思

　　对于该网站的安全检测，没有用什么高级复杂的技术轻而易举就获得了Webshell，并且拿下服务器也不在话下。这确实有些讽刺意味，一家安全企业其网站的安全性如此不堪一击，让人如何对其生成的产品报有信心呢?企业网站被挂马，被留了后门，攻击者出入无人之境，管理员的脸上挂不住，企业形象、技术实力也大打折扣。如何加固企业网站的安全，笔者提供几项打造企业网站安全的措施：

　　1.修改网站系统的默认用户名和密码。

　　2.网站系统及时的更新升级、打补丁，杜绝0day入侵。

　　3.网站系统的适当改造：数据库路径、管理后台路径一定要修改;删除隐患文件如install.asp、upload.asp等。

　　4.操作系统系统平台打好补丁，做好安全设置，安装杀毒软件部署防火墙等。

      IT专家网原创文章，未经许可，严禁转载！