記一次對PUBG外掛病毒的反制過程

免費領取全套黑客滲透實戰教程

*嚴正聲明：本文僅限於技術討論與分享，嚴禁用於非法途徑。

一、事件前言

這事還要從一隻蝙蝠開始說起………..

疫情的原因在家閒的翻箱倒櫃，翻出了這麼個玩意，沒錯這就是“壓qiang神器”想當初我把把落地成盒又在某寶鋪天蓋地的推送下，忍痛割愛花了百來塊錢買了這神器。

買回來後開始後悔了，經過簡單的觀察分析此USB的行為，並非啥智能壓qiang芯片

實際上就是一個軟件加密狗的USB加密了商家給發的無後坐軟件

通過對某寶搜索加密狗USB看看這價格，屬實暴利。

二、故事開始

因翻出了此USB加密狗，心血來潮想開把遊戲試試還有沒有效果，進入商家之前提供的下載地址下載軟件

這次幸運的忘了關殺毒軟件，哦豁？？

這是嘛呀，這圖標咋這麼熟悉呢，這不是赤裸裸的遠控嗎

難怪商家之前一直強調要先關了殺毒軟件在打開，原來藏著這麼大的貓膩。

之前也一直傻愣愣的把殺毒軟件都關了才開始玩的，USB是從去年四月份購入的

合著當了差不多一年的肉雞了，坑我錢封我號就算了還拿我當肉雞使，這誰受得了必須得制裁。

三、信息探測

二話不說直接丟到微步沙箱分析一波看看能不能挖出什麼重要的信息，軟件的持久化跟讀取系統信息這類的高危操作行為，確定遠控無疑了。

再翻翻有沒有跟軟件交互的ip或者URL做為入手點，果不其然在大量的URL鏈接中發現了一條開著http協議的ip地址。

訪問之~其http://10x.xx.xx.xx/1/1.txt內容就是軟件上的公告，確定了這臺ip是軟件的服務器沒跑了。

既然開了web的服務，直接上dirmap強大的目錄探測工具看看能不能跑出啥重要信息，速度很快不一會探測出了PHPmyadmin等信息。

直接複製路徑訪問，習慣性的一波弱口令root/root給進去了…….

像這類的軟件作者安全意識很低幾乎沒有

因為沒有人去抓包去分析流量很難發現背後所交互的ip，果然又是一套phpStudy搭建起來的web服務。

插播一條消息：

想學習更多黑客滲透技術，沒有實戰練習挖漏洞滲透權限

直接掃描下方二維碼，提供免費靶場進行實戰演練

靶場+視頻教程，新手能鍛鍊技術，老鳥層層闖關，在實戰中進行自我探測！

四、Getshell

因為已經拿到了phpmyadmin的數據庫且還是root權限的，可利用數據庫的日誌導出功能導出一句話php。

1.先手動開啟日誌。set globalgeneral_log=’on’

2.檢查是否開啟成功。show variables like “general_log%”

3.設置日誌文件輸出的路徑，結合PHPinfo文件得到網站的絕對路徑，直接輸出到web路徑下。

<code>set global general_log_file ="C:\\phpStudy\\PHPTutorial\\WWW\\info.php"/<code>

4.寫入一句話，輸出到日誌文件中。select ‘’

菜刀連接上剛剛導出的一句話。

五、權限提升

到這裡就已經拿到了webshell，但shell 的權限還太過於小我們的目標是拿下對方的系統權限

這裡我用cs上線方便後續的操作，cs生成上線程序“splww64.exe”，利用菜刀的虛擬終端管理運行我們的程序。

過了幾秒Cs這邊也上線了。

權限到手後接下來就是激動人心的讀取密碼了，當然我們已經有了Administrator的權限可以自己添加個新用戶，但這樣會引起管理員的注意。

這裡我們用cs自帶的mimikatz來抓取用戶的登陸密碼

但很遺憾的是對方服務器是Windows Server 2012 R2版本的，Windows Server 2012 R2已經修復了以前從內存獲取密碼的漏洞

並且IPC$的遠程認證方式也改變了，導致沒辦法進行hash注入，因為默認不存儲LM hash ，也只能抓取NTLM hash ，基本上也是很難破解成功的。

六、巧取密碼

難道就這樣半途而廢了麼，不不不，敲黑板敲黑板了，Mimikatz –內存中的SSP

當用戶再次通過系統進行身份驗證時，將在System32中創建一個日誌文件

其中將包含純文本用戶密碼，此操作不需要重啟目標機子

只需要鎖屏對方再登陸時即可記錄下明文密碼，需另傳mimikatz.exe程序到目標機子

然後在cs終端執行C:/mimikazt.exe privilege::debug misc::memssp exit當看到Injected =）的時候，表明已經注入成功。

接下來就是使對方的屏幕鎖屏，終端鍵入rundll32.exe use***.dll,LockWorkStation命令。

過了許久…..許久….再次使用net user Administrator查看用戶登陸情況。

在管理員再次輸入密碼登錄時，明文密碼會記錄在C:\\Windows\\System32\\mimilsa.log文件，在查看目標機子產生的log文件時間剛好對應得上，下載到本地打開之~。

七、登陸系統

目標機子的明文密碼已經取到手了，接下來上nmap全端口掃描出RDP遠程登陸端口，執行nmap -p 1-65355 10x.xx.xx.xx，可看到目標機子的端口是默認的3389端口。

登陸之~目前已有兩千多用戶了…..也可以確切的說兩千多肉雞了。

八、知識點

1.提取exe程序交互的ip或者URL作為入手點。

2.Phpmyadmin日誌導出獲取webshell。

3.Mimikatz表明注入取得明文password。

九、總結

因一條root/root口令導致後面一連串的控制權限提升，應當增強網絡安全意識，排查自己所對外開放的資產服務，關閉或修改本身的端口，拒絕弱口令！拒絕弱口令！拒絕弱口令！

轉載自https://www.freebuf.com/articles/web/231670.html

閱讀更多 暗網視界 的文章

關鍵字: Server 黑客 病毒