网站入侵工具之wscan使用详解

by:南非教主

wscan是个比较强大的网站扫描工具，当然还有些其它强大的工具，不过我只用过wscan。以下是wcan的说明文件内容：

---------------------------------------------------------------------------------
usage: wscan <-Vb> <-h host> <-f hostfile> <-p pathfile> <-t maxthread>
<-e ext> <-c flag> <-s suffix> <-F [FIXED]@@@@> <-S startblock>
<-r statuscode> <-l logfile> <from-len> <to-len> [charset]
-b  is brute-forcing used custom charset
-h  is host to scan
-f  is path file
-t  is max thread default is 20
-e  is custom extend name (php)
-c  is custom page not find(404) flag
-s  is suffix to add scan file (.bak)
-F  is specify a pattern, eg: @@god@@@@
-S  is specify the starting string, eg: 03god22fs
-r  is display the custom status code
-l  is logfile to record
-V  is display version info

用10个线程扫描www.abc.com, 并记录到文件result.txt中
wscan /h www.abc.com /p admin.txt /t 10 /l result.txt

自定义扫描文件的扩展名为php,程序自动在扫描时替换
wscan /h www.abc.com /p admin.txt /e php

添加扫描后缀.bak,程序在扫描时全部追加到URL后面
wscan /h www.abc.com /p admin.txt /s .bak

自定义文件找不到时的关键字为"error", 这时线程数最好少一点
wscan /h www.abc.com /p admin.txt /c error /t 10

返加指定状态码为200的URL
wscan /h www.abc.com /p admin.txt /r 200

注: 暴力猜解必须得加上/b选项

暴力猜解www.abc.com的目录,线程数为默认的20,最小长度为1,最大长度为3 默认字符集为abcdefghijklmnopqrstuvwxyz
wscan /bh www.abc.com 1 3

for /r %a in (*.txt) do wscan /h xdiyer.cn /p %a /l c:\result.txt
暴力猜解www.abc.com的目录,线程数为默认的20,最小长度为1,最大长度为3 字符集为012345
wscan /bh www.abc.com 1 3 012345

也可以指定线程数
wscan /bh www.abc.com /t 10 1 3

指定填充猜解, @将被字符集填充,如果不指定最大长度,最小长度=最大长度
wscan /bh www.abc.com /t 10 /F admin@@@ 8

指定开始位置从xx字符开始，更加灵活
wscan /bh www.abc.com /S xx 2

显示版权信息

wscan /V

注: 程序写的不是很专业,自己用感觉差不多了,有什么BUG跟贴.cooldiyer保留程序版权
// code by cooldiyer 2007.5.5

-----------------------------------------------------------------------------------------
可以看出其功能是非常强大的，下面说说我平时使用wscan的一些经验。

1、扫描网站敏感页面和目录，下面是我整理的一些常用比较敏感的页面：
admin.asp
adminlogin.asp
admin_index.asp
admin_left.asp
admin_login.asp

下面来看一个实例。
目标站：www.hljmjj.com

用wscan扫下网站，结果如下图

扫出了个www.rar，这个多半就是网站的备份文件了，下载过来，整个网站结构一目了然

接下来拿shell就简单了。

PS：www.rar这个文件我已经重新命名了，过路者也不用去试了。

以前实例还不能说明wscan的强大，wscan强大之处还在于旁注效率非常高。

其实简单地说是就是利用wscan来批量扫描。

利用wscan批量扫描可以用简单的批处理命令实现，先把要检测的网址保存到url.txt中，然后批处理命令如下：
@echo off
for /f %%i in (url.txt) do (
wscan /h %%i /p test.txt /t 3 /l result.log
)
pause

test.txt中的肉容就是一些常用的敏感目录和敏感页面，扫描完我们可继续扫描二级目录。

下面来看实例。

还是以前面那网站为例，假如主站我们没办法，那就要旁注了，来到http://rootkit.net.cn/index.aspx查询，

同服务器有好二百多个网站，为了效率，我这里只选了一部分网站来扫描。
由于http://rootkit.net.cn/index.aspx查出来是
(1) www.aaa.com
(2) www.bbb.com
.......
(50) www.ccc.com

这样的形式，这里用批处理简单处理下，批处理代码：
for /f "tokens=2 delims= " %%i in (1.txt) do (
echo %%i >>url.txt
)
好了，以下是扫描结果，还没扫描完，不过已经有足够多可供我们利用的东西了。

页面扫描结果：

目录扫描结果：

首先当然是找上传，到http://www.kxny.com/upload.asp的时候，利用上传漏洞很轻松就得到一个webshell