记一次对Steam盗号病毒的反制过程(3)

果然是有调用这个xmlrpc模块的，我估计这个病毒的传播者并不是很关注安全这一块的，前面的hfs早在15年就爆出有远程执行漏洞，现在重新搭建了服务还是有后门的(不禁笑出了声，可见关注安全情报的重要性)，接下来就是验证漏洞后门是否可以利用了，咱们先用火狐浏览器对他简单的抓包在重新构造数据包发送看看。因为后门的特性所以需要对构造的恶意代码echo system(‘whoami’);进行besa64编码才可执行成功。

然后发完包后再点击重新发包后的连接查看所有返回的响应页面，果不其然的成功执行了whoami命令已可以确认该phpstudy是存在后门的。

为了能更直观的展现出来也为了方便，咱们用burp来抓包发包，设置好到burp的代理后刷新一遍就可以抓到浏览器的发包了，在然后Ctrl+r发送到burp的Repeatr测试发包，这里试试net user的命令看看都有哪些用户。

命令一样的执行成功了，在systeminfo看看系统的信息……过了许久服务器终于回包了，居然安装了330个补丁包！！！估计是关他服务器时感到了警觉把能打的补丁都打上了吧，可他万万没想到漏洞不是出在系统的。

接下来在netstat -an看看都开了些什么端口，好对下一步进行工作有帮助，果然是控制肉鸡的服务器，大量的ip跟服务器的8000端口有tcp流量。

为了不引起管理员的警惕这里使用net user administrator看看管理员账号上次的登陆时间是多少然后我们在添加自己的账号进去，这里算是个小技巧吧不像第一次验证漏洞的可用性时直接把人家机子给关机了，八点的时候登陆的，现在已经凌晨了，估计管理员已经睡觉了可以放开手去干了。

之前net user的时候有mysql这个账号那么我们就新建个mysq1的账号把L模仿成数字1，或者可以在账号后面加个$用于隐藏账号，这样至少在管理员粗心的情况下新建的账号能存活一段时间。

万事具备只欠连接端口了，尝试了一下默认端口3389发现连接失败，我估计可能是管理员修改了默认端口，没事，上nmap来一波-p 1-65355端口扫描，把所有开放的端口都给它扫出来，可以看到原有的3389被管理员修改成了33890。