由小小姐炫耀引起的一次钓鱼网站入侵并溯源

榨取呼吁执行函数无非就是在 php.ini 内里配置 disable_functions，当我的 shell 可以或许修改这个 php.ini 的时辰，这个所谓的防护就变得没故意义了。

执行 whoami 呼吁发明权限只有 iis apppoolwww。这个权限低的难以忍受，我得想步伐提权。我祭出了提权后渗出大杀器 Metasploit

上传用 msf 天生的木马，本身的处事器再设置好监听，webshell 执行，乐成获取 meterpreter 会话!之后一记 Ms16-075 裂痕拿到 system 权限!

4. 第二次正经的溯源

在拿随处事器权限后,我用 mimikatz 拿到了打点员明文暗码

可是保险起见我照旧先新建一个用户(就是上图的 360safe)，免获得时辰登上去把打点员挤下去的忧伤状况

然后用一个呼吁把长途桌面的端口查出来

C:Windowssystem32>regquery"hklmSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp"/v"PortNumber" 
regquery"hklmSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp"/v"PortNumber" 
 
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp 
   PortNumber   REG_DWORD   0x58d4 

最后乐成登录长途桌面!

登录长途桌面后我发明电脑上险些没装什么软件，除了个宝塔外就没有此外了

我先汇集了 Windows 日记，在日记中我发明白一些的对象

起首呢，很是不幸，我在最开始用 msf 提权的时辰整理了日记，这是我的大失误，导致 3 月 10 日之前的日记都没了。可是不幸中的万幸是，残存的日记足矣辅佐我们找到进攻者的一些信息。

这个进攻者的电脑名字叫做“阿洲”，听起来像是港台片内里的黑社会，IP 地点拿到了两个，一个是 119.85.162.18(中国重庆重庆合川区龙湖美岸(住宅小区)(可信度：99))

尚有一个是 119.85.166.235(中国 重庆 重庆 合川区)乐成定位!

处事器上还装有宝塔，因为我并不知道宝塔的暗码，就直接修改了内里的 php 文件，把暗码鉴定哪里修改了下逻辑，这样只要我的用户名是 360safe 就能(是的，我有一次借刀 360)登录。

在登岸后我看到靠山日记，有看到了一个 IP:119.85.164.184 (中国重庆重庆合川区美绿居·翡翠名苑(住宅小区)(可信度：99))应该是统一小我私人

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!