由小小姐炫耀引起的一次钓鱼网站入侵并溯源(2)

禁止命令执行函数无非就是在 php.ini 里面设置 disable_functions，当我的 shell 能够修改这个 php.ini 的时候，这个所谓的防护就变得没有意义了。

执行 whoami 命令发现权限只有 iis apppoolwww。这个权限低的难以忍受，我得想办法提权。我祭出了提权后渗透大杀器 Metasploit

上传用 msf 生成的木马，自己的服务器再配置好监听，webshell 执行，成功获取 meterpreter 会话!之后一记 Ms16-075 漏洞拿到 system 权限!

4. 第二次正经的溯源

在拿到服务器权限后,我用 mimikatz 拿到了管理员明文密码

但是保险起见我还是先新建一个用户(就是上图的 360safe)，免得到时候登上去把管理员挤下去的尴尬状况

然后用一个命令把远程桌面的端口查出来

C:Windowssystem32>regquery"hklmSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp"/v"PortNumber" 
regquery"hklmSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp"/v"PortNumber" 
 
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp 
   PortNumber   REG_DWORD   0x58d4 

最后成功登录远程桌面!

登录远程桌面后我发现电脑上几乎没装什么软件，除了个宝塔外就没有别的了

我先搜集了 Windows 日志，在日志中我发现了一些的东西

首先呢，非常不幸，我在最开始用 msf 提权的时候清理了日志，这是我的大失误，导致 3 月 10 日之前的日志都没了。但是不幸中的万幸是，残存的日志足矣帮助我们找到攻击者的一些信息。

这个攻击者的电脑名字叫做“阿洲”，听起来像是港台片里面的黑社会，IP 地址拿到了两个，一个是 119.85.162.18(中国重庆重庆合川区龙湖美岸(住宅小区)(可信度：99))

还有一个是 119.85.166.235(中国 重庆 重庆 合川区)成功定位!

服务器上还装有宝塔，由于我并不知道宝塔的密码，就直接修改了里面的 php 文件，把密码判定那里修改了下逻辑，这样只要我的用户名是 360safe 就能(是的，我有一次借刀 360)登录。

在登陆后我看到后台日志，有看到了一个 IP:119.85.164.184 (中国重庆重庆合川区美绿居·翡翠名苑(住宅小区)(可信度：99))应该是同一个人

（编辑：ASP站长网）