今天盘了一个小日子的诈骗网站(樱花国)

admin 2023年2月25日22:17:00评论58 views字数 1081阅读3分36秒阅读模式

现在只对常读和星标的公众号才展示大图推送,建议大家能把李白你好设为星标”,否则可能就看不到了啦


前言


周末在家无聊,正睡觉呢,又又又来了诈骗电话,用这不太流利的普通话想掏我钱包......今天盘了一个小日子的诈骗网站(樱花国)然后他引导我去他们的网站,去了一下发现,嚯、又是一个模仿国家征信的网站,但是这个站挂了CDN,于是掏出我的微信联系人,求大哥帮忙给找一下真实ip(我从来没找出来过),过了一会大哥给我发了一个ip.....

今天盘了一个小日子的诈骗网站(樱花国)




开干

话不多说,开干.....(一顿操作中)

忽然,扫到一个jboss端口的未授权,尝试访问,大哥说这里可以部署木马,就和tomcat的部署方式类似。今天盘了一个小日子的诈骗网站(樱花国)

点击jboss.deployment之后,找到addurl就可以远程部署自己的war包,这里部署有个坑,我自己压缩成zip然后后缀换成war是不行的,需要用java打包成war(也有可能是我菜),而且我冰蝎、哥斯拉的免杀马也部署不上去,只有一句话部署上去了。今天盘了一个小日子的诈骗网站(樱花国)

然后通过一句话,寻找路径,使用echo重新写了一个免杀马,才连上服务器今天盘了一个小日子的诈骗网站(樱花国)连上后发现是樱花国的,咦嘻嘻嘻嘻嘻,开搞开搞今天盘了一个小日子的诈骗网站(樱花国)

连上后发现,服务器不出网,服务器上存在赛门铁克或者诺顿...今天盘了一个小日子的诈骗网站(樱花国)因为不出网,于是用冰蝎、哥斯拉自带的隧道,但是进去之后3389什么的都没办法登陆,不知道什么原因,查看端口都是开的,而且在隧道内用本机的扫描器扫描端口,端口是混乱的(此处怀疑是流量被杀了),然后使用https://github.com/L-codes/Neo-reGeorg该项目的木马隧道是可以直接进去内网(使用最新版,老版本的流量好像也被杀了,连接会有问题),并且3389也可以尝试登陆。今天盘了一个小日子的诈骗网站(樱花国)本菜鸟没有免杀的hash查看工具,就使用哥斯拉自带的hashdump查看。今天盘了一个小日子的诈骗网站(樱花国)

因为是win server 2012,一般解不出来(运气好可以,或者修改注册表),然后尝试看看cmd5有没有收藏这条hash,真是运气来了挡都挡不住,哈哈哈哈.......今天盘了一个小日子的诈骗网站(樱花国)

今天盘了一个小日子的诈骗网站(樱花国)同时hash中还存在域用户,然后就查了一下域控的ip,但是3389的时候显示因为组件原因,登陆不上去,这块shell显示有问题,应该是nslookup+域名。今天盘了一个小日子的诈骗网站(樱花国)

跑路跑路,等有时间一定要好好看看这个域控....

今天盘了一个小日子的诈骗网站(樱花国)

PS:以前以为蓝队只是看看监控,直到自己最近上手蓝队战前准备的活,才知道原来需要这么多准备的,特别是客户本来就不是很懂得情况下......这么有趣的文章记得点赞评论哦

今天盘了一个小日子的诈骗网站(樱花国)


往期回顾

今天盘了一个小日子的诈骗网站(樱花国)

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织


今天盘了一个小日子的诈骗网站(樱花国)

内网常用工具密码解密【扩大战果】


今天盘了一个小日子的诈骗网站(樱花国)

原文始发于微信公众号(李白你好):今天盘了一个小日子的诈骗网站(樱花国)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月25日22:17:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   今天盘了一个小日子的诈骗网站(樱花国)https://cn-sec.com/archives/1574949.html

发表评论

匿名网友 填写信息