危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18791600

小试朔雪

这几年在全民皆“注”的努力下,Internet上被迅速增添了很多各具特色的WebShell。由于网管监察不力或是WebShell本身的免杀和隐藏处理等原因,时间一长,竟然出现了可以使用百度或Google来直接搜索得到别人WebShell的局面,真是令人唏嘘!从我们“黑”的角度出发,危险漫步个人建议大家还是使用Google来搜索WebShell比较好(再次BS百度最近被央视曝光搜索结果用钱排名次的卑劣,没听说过的可以去百度一下哈)一一相同的关键字会得到更为精准的结果,比如可以使用“注:请勿用于非法用途,否则后果作者概不负责”来Google一下,那些形如“webshell - 222.76.2xx.135”和“白痴黑客- 59.36.xx.203”之类带有IP且下方出现“密码:”及红色关键字的链接就是传说中的WebShell了,一般都能够直接点击打开。默认情况下,Google每页的十个链接搜索结果中至少会有两三个是我们的目标WebShell。

当然,仅只是找到这样的一些WebShell链接是没有什么多大意义的,它们的存在也只能说明对应的网站被“路过”了,因为几乎所有的WebShell都会有登录密码保护,否则还不乱套?长时间以来,不排除一些别有用心的“大牛”对自己版权所有lYJWebShell动了手脚(比如在某个隐蔽的地方添加万能密码),这样就等于是在别人后门中又开了一道后门;那么,对于很多可以真接使用Google搜索到的WebShell,我们初学者都能做点儿什么呢?至少,给个机会练练手、多见识一下,可是,如何做昵?现在我们在网上可以轻易就搜索到很多常用WebShell的默认密码信息,“一些比较常用webshell的默认密码.txt”,其中就有“黑羽基地免杀asp大马密码:5201314”和“F.S.T联盟交流群内部版.!别外传噢密码:rfkl”等信息(足有一百多个)。但也有很多的WebShell单纯从其登录界面上是看不出它到底是哪一家的哪个版本的网马,特别是对于我们这些初学者黑客而言,总不能一个一个地试吧?其实,这个真的可以试——当然不是人工。不知很多初学者是否对“溯雪”这款很古老的黑客利器有印象,这可是大名鼎鼎的小榕软件代表作之一(与“流光”、“乱刀”等齐名),利用它暴力破解邮箱的套路是不是可以完全用来对付一下这样的公开WebShell呢?可惜“溯雪”早已停止开发了,甚至不支持Win 7,好在可以非常流畅地运行在XP中。下载完,待用。因为在暴力破解过程中最为给力的莫过于所使用的字典文件了,而刚才所提到的那些比较常用的WebShell默认密码是不是可以派上用场了?依葫芦画瓢将“一些比较常用webshell的默认密码.txt”用记事本打开,手工将每行信息前半部分的“黑羽基地免杀asp大马密码”删除,只剩下“5201 314”纯密码,然后另存为.Dic文件(其实和.Txt是没有区别的),命名为“【整理】一些比较常用webshell的默认密码dic”,复制到“溯雪”的安装目录中。

运行溯雪,将此URL链接复制粘贴到“Address”(地址)后的输入框中,回车打开该WebShell;然后切换到拆分窗口模式,再按组合键C trl-l呼出相关的表单操作项,双击左下方的“password”弹出“Element Lpa.sswordl Properties”窗口,选中“使用字典”复选框之后点击后面的“浏览”按钮将“【整理】一些比较常用websh ell的默认密码.dic”字典文件选中,点击“确定”按钮。然后执行“运行”。“开始/重新开始”菜单命令,溯雪会提示我们保存扫描结果,直接点击“确定”按钮即可;接着进行“选择标记”,这是要告诉溯雪碰到猜解错误时及时进行下一次猜解,将之前在浏览器中进行尝试登录时返回的“SORRY,密码错误”信息从“按以下条件选择提交标记(错误标记):”中复制并粘贴到“错误标记:”后的输入框,点击“确定”按钮。

一切准备工作都已经OK了,溯雪终于开工了,最右侧显示的是依次读取我们自定义字典中的各行密码,同样在左下方也有相关的密码尝试提示。经过一段时间的暴力猜解,溯雪终于有了最终的结果,显示f-password=123”。直接双击这条扫描记录,溯雪马上就打开了这个WebShell,从“文件管理”到“提权”和网站硬盘的浏览等操作全部呈现在眼前,实验宣告成功!

相关推荐