主页 > 网络知识 > 记一次对PUBG吃鸡外挂病毒的反制过程(2)

记一次对PUBG吃鸡外挂病毒的反制过程(2)

到这里就已经拿到了webshell,但shell 的权限还太过于小我们的目标是拿下对方的系统权限,这里我用cs上线方便后续的操作,cs生成上线程序“splww64.exe”,利用菜刀的虚拟终端管理运行我们的程序。

 

记一次对PUBG吃鸡外挂病毒的反制过程

 

过了几秒Cs这边也上线了。

 

记一次对PUBG吃鸡外挂病毒的反制过程

 

权限到手后接下来就是激动人心的读取密码了,当然我们已经有了Administrator的权限可以自己添加个新用户,但这样会引起管理员的注意。

这里我们用cs自带的mimikatz来抓取用户的登陆密码,但很遗憾的是对方服务器是Windows Server 2012 R2版本的,Windows Server 2012 R2已经修复了以前从内存获取密码的漏洞,并且IPC$的远程认证方式也改变了,导致没办法进行hash注入,因为默认不存储LM hash ,也只能抓取NTLM hash ,基本上也是很难破解成功的。

 

记一次对PUBG吃鸡外挂病毒的反制过程

 

 

0X05   巧取密码

 

难道就这样半途而废了么,不不不,敲黑板敲黑板了,Mimikatz –内存中的SSP,当用户再次通过系统进行身份验证时,将在System32中创建一个日志文件,其中将包含纯文本用户密码,此操作不需要重启目标机子,只需要锁屏对方再登陆时即可记录下明文密码,需另传mimikatz.exe程序到目标机子,然后在cs终端执行C:/mimikazt.exe privilege::debug misc::memssp exit当看到Injected =)的时候,表明已经注入成功。

 

记一次对PUBG吃鸡外挂病毒的反制过程

 

接下来就是使对方的屏幕锁屏,终端键入rundll32.exe use***.dll,LockWorkStation命令。

 

记一次对PUBG吃鸡外挂病毒的反制过程

 

过了许久.....许久....再次使用net user Administrator查看用户登陆情况。

 

记一次对PUBG吃鸡外挂病毒的反制过程

 

在管理员再次输入密码登录时,明文密码会记录在C:WindowsSystem32mimilsa.log文件,在查看目标机子产生的log文件时间刚好对应得上,下载到本地打开之~。

 

记一次对PUBG吃鸡外挂病毒的反制过程

 

 

记一次对PUBG吃鸡外挂病毒的反制过程

 

 

0X06    登陆系统

 

 目标机子的明文密码已经取到手了,接下来上nmap全端口扫描出RDP远程登陆端口,执行nmap -p 1-65355 10x.xx.xx.xx,可看到目标机子的端口是默认的3389端口。

 

记一次对PUBG吃鸡外挂病毒的反制过程

 

登陆之~目前已有两千多用户了.....也可以确切的说两千多肉鸡了。

 

记一次对PUBG吃鸡外挂病毒的反制过程

 

知识点:

 

提取exe程序交互的ip或者URL作为入手点。

 

 

Phpmyadmin日志导出获取webshell。

 

 

Mimikatz表明注入取得明文password。

 

 

0X07    总结

 

因一条root/root口令导致后面一连串的控制权限提升,应当增强网络安全意识,排查自己所对外开放的资产服务,关闭或修改本身的端口,拒绝弱口令!拒绝弱口令!拒绝弱口令!

 

 

记一次对PUBG吃鸡外挂病毒的反制过程

 

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!