记一次对PUBG外挂病毒的反制过程(3)

在管理员再次输入密码登录时，明文密码会记录在C:\Windows\System32\mimilsa.log文件，在查看目标机子产生的log文件时间刚好对应得上，下载到本地打开之~。

目标机子的明文密码已经取到手了，接下来上nmap全端口扫描出RDP远程登陆端口，执行nmap -p 1-65355 10x.xx.xx.xx，可看到目标机子的端口是默认的3389端口。

登陆之~目前已有两千多用户了…..也可以确切的说两千多肉鸡了。

1.提取exe程序交互的ip或者URL作为入手点。

2.Phpmyadmin日志导出获取webshell。

3.Mimikatz表明注入取得明文password。

因一条root/root口令导致后面一连串的控制权限提升，应当增强网络安全意识，排查自己所对外开放的资产服务，关闭或修改本身的端口，拒绝弱口令！拒绝弱口令！拒绝弱口令！