通过WinSock嗅探虚拟主机拿下目标站

是小白搞的,但是当时她没截图,所以我重新来的,时间就有点对不上,不过确实是这么个步骤哈
首先是嗅探工具,asp的虚拟一般都支持aspx(少数不支持的忽略哈),那么用C#调用winsock嗅探下80端口、顺便连ftp和SMTP端口一起监听了吧。
第一步,随便旁注拿下asp虚拟主机上的一个网站,上传aspx的工具(工具我下载链接在本文末尾)如图:

1.png

这个虚拟主机还算不错,才三分钟,就Packets: 260这么多包了
一个通宵抓包,好了,该分析日志了。
日志下载下来,因为虚拟主机,监听的是整个服务器,信息量太大,只能有选择的分析,搜索admin、pass、user、login等等有选择的看包。
从抓包中发现,很多人在暴力猜解ftp密码。。。晕,这是何苦呢
搜索admin这一关键词时有这么一个部分引起了我的注意,如图:

2.png

目录是admin下的文件,而且还有Cookie。。。很明显。呵呵
再看往下:

慢慢来看,无关的跳过了哈

发送指令到admin目录的sent.asp

这个不用解释了吧,用session,session似乎不能像Cookie那样欺骗,能我也不会

完整的url估计就是这个不错了,打开看看。居然是webshell
这下就更省事了

3.png

好了,继续往下看:

反正不是我机器上的
下面的越看越无聊,直接跳到最后:

输入密码:buqiuren即可登录

4.png

下面就是批量清马,清理找webshell了
PS:做人要积德,挂马盗号这样的无德无良的事情最好不要干,修复漏洞,留张条就行了。罪过啊罪过
look,挂马的信息也抓出来了。。。。好无聊

91ri.org:这是篇很老的文章了,其实从技术上来说没什么很有趣的东西,也挺老套的。之所以转载这篇文章是想给大家分享个思路:如果在旁注的时候跨目录没权限,提权无望的情况下可以试试这种嗅探方式,可以嗅探到服务器上的ftp登录以及一些敏感信息,运气好时你嗅探到的信息将成为你拿下目标站的关键key…

sniffer aspx下载:http://pan.baidu.com/share/link?shareid=474204&uk=1325491136

:这个shell是网上找的,手上没有shell就不测试了,手上有shell的下载下来测试一下效果,如果发现不能用可以留言,我另外台电脑里是有这个的可用版。

link:http://bbs.blackbap.org/thread-1323-1-1.html

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。