主页 > 网络知识 > phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析(6)

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析(6)

 

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

 

 

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

 

微信号尾号为H****553YM

QQ:64****08

就先叫他53YM大黑客

 

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

 

(7)纯真IP库查询IP的归属地指向了一家名为”北京市 凯达永易科技(北京)有限公司”的公司

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

 

去天眼查网站查询这家公司发现公司已注销

 

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

 

 

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

 

天眼查查询地址

(8)然后我顺便去Google搜索了一下这个C&C上线地址,发现已经有安全团队分析了类似样本

 

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

 

腾讯安全御见威胁情报中心样本分析报告

 

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

 

2018.exe 211.149.225.80:3313(大灰狼木马)

inJoin.ps1是一个远程注入工具该PowerShell脚本具有3个基本功能集:

1.)将DLL反映性地加载到PowerShell进程中

远程或本地运行时,可以将DLL输出返回给用户。

DLL完成执行后,清理PS进程中的内存。

2.)将EXE反射性地加载到PowerShell进程中。

远程运行时无法将EXE输出返回给用户。如果需要远程输出,则必须使用DLL。如果在本地运行,则可以返回EXE输出。

DLL完成执行后,清理PS进程中的内存。

非常适合运行EXE的现有渗透测试工具,而无需触发过程监控警报。

3.)以反射方式将DLL注入到远程进程中。

在远程或本地运行时,无法将DLL输出返回给用户。

如果DLL完成执行,则不清理远程进程中的内存。

非常适合通过将后门DLL注入另一个进程内存来在系统上植入后门。

期望DLL具有此功能:void VoidFunc()。这是在DLL加载后将被调用的函数。

如果通俗点用人话来讲就是利用PowerShell来远程注入DLL的脚本

此PowerShell项目的Github项目地址:

https://github.com/clymb3r/PowerShell

此PowerShell项目作者的说明:

https://clymb3r.wordpress.com/2013/04/06/reflective-dll-injection-with-powershell/

 

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

 

这里的江西赣州的黑客所使用的就是上图红圈选圈中的PowerShell脚本

然后查看他一下他的PowerShell脚本

 

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

 

其中$InputString是黑客把自己的恶意的二进制文件通过Base64转写后的字符串信息

在通过PowerShell[System.Convert]::FromBase64String的方法是为上面二进制文件加密的字符串信息进行解密执行

InputString中Base64编码的字符串解密还原后为Metasploit生成的二进制文件。

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!