- 浏览: 632029 次
- 性别:
- 来自: 西安
文章分类
最新评论
-
d1438138:
[img][/img]
google api 的一些神奇使用 -
waykingeye:
[i][b][u]引用[list]
[*][img][url] ...
No result defined for action and result input -
tss0823:
...
No result defined for action and result input -
yahier:
有什么办法能够捕捉,然后给出自定义的提示呢
No result defined for action and result input -
chen_lian:
恩恩 按照上面的代码测试一下觉得很对
java创建目录
0x01,某天师妹告诉我们某台服务器疑似被人干掉了,我果断远程过去,结果服务器远程不上,感觉有点意思了
第二天到实验室,果断直接物理登录,发现服务器出现了奇怪的情况,没了任务管理器,无法直接关机。
远程端口疑似被改,
首先写道
得到部分链接如下
写道
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:53 0.0.0.0:0 LISTENING 1460
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 1604
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 700
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1031 0.0.0.0:0 LISTENING 464
TCP 0.0.0.0:1032 0.0.0.0:0 LISTENING 1284
TCP 0.0.0.0:1034 0.0.0.0:0 LISTENING 1460
TCP 0.0.0.0:3947 0.0.0.0:0 LISTENING 4464
TCP 0.0.0.0:4019 0.0.0.0:0 LISTENING 4464
TCP 0.0.0.0:4405 0.0.0.0:0 LISTENING 2884
TCP 0.0.0.0:10203 0.0.0.0:0 LISTENING 8232
TCP 127.0.0.1:1036 0.0.0.0:0 LISTENING 3148
TCP 127.0.0.1:8081 0.0.0.0:0 LISTENING 4464
TCP 127.0.0.1:8082 0.0.0.0:0 LISTENING 4464
TCP 127.0.0.1:8083 0.0.0.0:0 LISTENING 4464
TCP 127.0.0.1:8084 0.0.0.0:0 LISTENING 4464
TCP 127.0.0.1:8085 0.0.0.0:0 LISTENING 4464
TCP 127.0.0.1:8086 0.0.0.0:0 LISTENING 4464
TCP 127.0.0.1:8087 0.0.0.0:0 LISTENING 4464
TCP 127.0.0.1:8088 0.0.0.0:0 LISTENING 4464
TCP 127.0.0.1:8089 0.0.0.0:0 LISTENING 4464
然后
查看svchost.exe中包含的TermService的pid是多少
映像名称 PID 服务
========================= ======== ============================================
System Idle Process 0 暂缺
System 4 暂缺
smss.exe 328 暂缺
csrss.exe 376 暂缺
winlogon.exe 404 暂缺
services.exe 452 Eventlog, PlugPlay
lsass.exe 464 PolicyAgent, ProtectedStorage, SamSs
svchost.exe 632 DcomLaunch
svchost.exe 700 RpcSs
svchost.exe 780 Dhcp, Dnscache
svchost.exe 816 LmHosts, W32Time
ZhuDongFangYu.exe 864 ZhuDongFangYu
spoolsv.exe 1260 Spooler
msdtc.exe 1284 MSDTC
360EntClient.exe 1364 360EntClientSvc
360EntSvc.exe 1404 360EntSvc
svchost.exe 1496 ERSvc
360EntPublish.exe 1604 暂缺
svchost.exe 1616 RemoteRegistry
snmp.exe 1652 SNMP
360EntAdmin.exe 1744 暂缺
360EntDT.exe 2344 暂缺
svchost.exe 2884 TermService
svchost.exe 2912 TapiSrv
alg.exe 3148 ALG
explorer.exe 3716 暂缺
conime.exe 3460 暂缺
360sd.exe 3584 暂缺
TSVNCache.exe 1544 暂缺
UnlockerAssistant.exe 4032 暂缺
360Desktop.exe 4008 暂缺
360tray.exe 3492 暂缺
ctfmon.exe 3828 暂缺
360DesktopSwitch.exe 3368 暂缺
360AppCore.exe 260 暂缺
360EntClient.exe 3896 暂缺
360EntConfigGuide.exe 4000 暂缺
mmc.exe 2928 暂缺
360Safe.exe 7132 暂缺
360rp.exe 7208 暂缺
cmd.exe 8672 暂缺
NOTEPAD.EXE 6008 暂缺
DSMain.exe 7080 暂缺
httpd.exe 7140 360EntHttpServer
httpd.exe 7344 暂缺
cmd.exe 6492 暂缺
csrss.exe 9028 暂缺
winlogon.exe 4172 暂缺
rdpclip.exe 9108 暂缺
wuauclt.exe 9816 暂缺
logon.scr 8560 暂缺
taskmgr.exe 6092 暂缺
mmc.exe 4732 暂缺
mmc.exe 9868 暂缺
cmd.exe 2432 暂缺
cmd.exe 5096 暂缺
mmc.exe 5708 暂缺
NOTEPAD.EXE 8812 暂缺
iexplore.exe 3380 暂缺
iexplore.exe 1180 暂缺
svchost.exe 8908 AeLookupSvc, CryptSvc, EventSystem,
helpsvc, Netman, Nla, RasMan, Schedule,
SENS, ShellHWDetection, winmgmt
360rps.exe 8928 360rp
wmiprvse.exe 9024 暂缺
wmiprvse.exe 9192 暂缺
cmd.exe 5584 暂缺
notepad.exe 8172 暂缺
NOTEPAD.EXE 6044 暂缺
tasklist.exe 5376 暂缺
可以看到 svchost.exe 2884 TermService 和这个 TCP 0.0.0.0:4405 0.0.0.0:0 LISTENING 2884
得出远程端口被小黑客改成了 4405,果断远程登入
0x02. 接下来就是分析情况了,
net user
得到 写道
__vmware_user__ admin Administrator
ASPNET Guest
IWAM_SVCTAG-9SSGN2X named SQLdebugger
SUPPORT_388945a0
命令运行完毕,但发生一个或多个错误。
可以发现多了个admin的用户,直接 pwdump7读出密码hash,
http://www.objectif-securite.ch/en/products.php
反解hash,得到了他添加的用户名密码
0x03 同时开360扫描杀毒,发现他还添加了sethc后门,想想也是一般都会加个shift后门
拖回来这个文件(还改了文件属性为隐藏系统文件),
od,ida打开
随便点点,先点设置再点取消,会出现个让我们欣慰的小框
果断操刀od,bp getWindowTextA
bp getWindowTextW
同时ida直接查找 getWindowTextA
发现了这个
这下这个后门的密码就出来了,
经过od的调试发现后门使用就是
shift5次呼出 后门, 点设置再点取消出现 编辑框,输入密码,再次点击设置就可以进入后门了,
后门如下
这下为啥没有任务管理器就懂了。。。
0x04 然后看了看这个小黑客账户的最近访问文件
原来是把我们的服务器当作扫描器了...
,
0x05 最后360全盘扫描,删掉后门木马,把我们测试用的web server关了(这个上面有个我们测试用的webshell,而且没密码....估计这样进来的)
并且做了一个反制措施,看看小黑客会不会中招。。。。
发表评论
-
metasploit 图形化界面和自动化exploit脚本
2013-10-21 16:25 77740x01 最新版的metasploit没了图形化界面, ... -
APKTool签名的一个问题
2013-10-14 21:19 25240x01 昨天写了反编译,今天就写下签名的问题 0 ... -
APKTool打包的一个小问题
2013-10-13 20:23 248350x01,又开始写blog了,好久没有网络了,最近终于可以开 ... -
struts2远程执行漏洞学习(四)
2013-05-23 00:12 23610x01 最近又有了一个新的struts2漏洞,http:/ ... -
CVE-2013-1493 学习
2013-03-25 16:06 30240x01 这个又是一个java CVE,效果前几个一样, ... -
CVE-2013-0422 分析2
2013-01-11 23:47 35290x01 http://wcf1987.iteye.c ... -
CVE-2013-0422 学习
2013-01-11 16:26 41930x01 这个是这两天爆出来的,我构建了一个本地测试代码,主 ... -
CVE 2012 0507 分析
2012-12-17 16:00 35730x01 https://github.com/wche ... -
android 无权限 伪造短信
2012-11-06 09:15 35840x01 这个有是大名鼎鼎的蒋教授发现的,原理简单,有点意思 ... -
A new way to hack android app info
2012-11-06 01:04 1670最近新研究了一种android攻击手段,blog发到团队那里的 ... -
python 反编译 pyc 一些心得
2012-09-06 10:59 538470x01 , 现在用python的人也多了起来,代码安全始终是 ... -
关于web渗透中得一些记录
2012-08-24 23:31 36221. 当得到linux root shell时 ... -
mail xss
2012-08-11 21:57 17171 最近迷上了xss,感觉各种飘逸,特别是http://www ... -
XSS学习二
2012-07-31 15:48 12691.xss学习到今天算是告一个段落了,发现了一个sohu邮箱 ... -
我的sinaapp
2012-07-27 22:10 1277我的sinapp小家终于成型了 http://icefish ... -
phpcms v9的补充
2012-07-25 21:28 1207前一篇留了个疑问: 为什么 file_get_conten ... -
phpcms v9 爆密码
2012-07-25 20:47 71001.首先是http://www.wooyun.org/b ... -
xss漏洞及其他-学习笔记
2012-07-23 17:05 1541http://www.wooyun.org/bugs/wooy ... -
最近接触的几个技术随笔
2012-07-13 14:04 13961.IIS短文件和文件夹泄漏漏洞 这个漏洞具体可以看核 ... -
python中利用twisted的异步通信和微线程 实现webshell密码扫描器
2012-07-06 19:06 5419好久没写blog了,到了暑假时间充裕了,打算好好写几篇, ...
相关推荐
phpwind插件黑道生涯!phpwind插件黑道生涯!
脑洞大开,游戏作。PS 横坐标与纵坐标,位置反了。
员工福利系列模板-家乐福的黑道式生存.doc
来自一个python初学者
【标题】"择吉老黄历"是一款基于中国传统黄历的软件或应用,它提供了全面的吉日查询功能,帮助用户在日常生活和工作中选择适宜的日子进行各种活动。 【描述】"中国黄历(择吉老黄历)"是针对中国文化中的黄历进行深度...
lunarlunar是一款无第三方依赖的公历(阳历)和农历(阴历、老黄历)工具,支持星座、儒略日、干支、生肖、节气、节日、彭祖百忌、吉神(喜神/福神/财神/阳贵神/阴贵神)方位、胎神方位、冲煞、纳音、星宿、八字、五行、十...
密码学在公元前400多年就早已经产生了,正如《破译者》一书中所说“人类使用密码...就连闯荡江湖的侠士,都有秘密的黑道行话,更何况是那些不堪忍受压迫义士在秘密起义前进行地下联络的暗语,这都促进了密码学的发展。
字、五行、十神、建除十二值星、青龙名堂等十二神、黄道黑道日及吉凶等
三星K2200是一款经典的激光打印机,当设备出现故障或者需要清除个性化设置时,恢复出厂设置是一个常用的方法。这个过程会将打印机的所有配置重置为初始状态,就像刚从工厂出来一样。以下是对如何执行三星K2200打印机...
在偶装上 sql2000之后,感觉总之怪怪的,放着这个后门在,始终都不放心,担心有一天被人破出密码,那偶的电脑不就完拉,偶在黑道混拉那么多天,要是传出去,有损颜面啊。可能你回说设个强壮点的密码,这个办法是...
监视者Underwatch是一个用于跟踪ini更改并保存Undertale文件的实用程序。 Underwatch使用Python 3.4和Clint模块进行彩色输出。 默认情况下,所有更改都以以下格式输出到终端: file9 changed(54) 4 >> 5 (Spared ...
经过本人的测试通过,,,寻迹道为两边为1.5厘米的黑道 ,,中间为1.5厘米的白色道,其于为灰色,,采用光敏电阻,GPS用的是RMC语句,,写出了经纬度,,并有温度传感和超声波测距,,由于超声波是自己做的,,,...
幻影叠加模组 该插件可在Illusion制作的游戏中为角色的面部,身体和衣服添加叠加纹理(纹身)。 这使您可以轻松创建独特的角色和衣服,而无需为游戏制作mod。 这些额外的纹理保存在卡中,并由主游戏和工作室使用。...
素描 OTCH项目的ETCH-A-SKETCH 去做 使用具有可变侧的JS创建基本网格 添加鼠标悬停行为 添加按钮以重新设置并重新创建新面 添加RGB值 增加10%的黑道通行证
提交给计算机科学黑道达城市学院的系 在对计算机科学和信息技术(理学士。CSIT)理学士要求部分履行提交实习报告8 ****特里布万大学,尼泊尔个学期 提交人 普拉瓦什·拉吉·乌普雷蒂 (3820/070) 2017年9月3日-2018年...