文章非常精彩!学习这篇应急响应,可以学习到很多黑产哥的攻击手法,例如:
克隆administrator的用户,并且用户名起的很巧妙:vmadmin,非常像是虚拟机那些用户
启用Guest用户,以防权限掉
下载360全家桶绕过卡巴斯基,这个真厉害
还有一些技术今天才学习到,就是文章的标题:IIS-Raid
对于权限维持,其中有一段话引起我的高度注意:
1)官网文件夹下的 App_Code 文件夹可以包含 .vb、.cs 等扩展名的源代码文件,在运行时将会自动对这些代码进行编译。而 123.asmx.e8a2beba.compiled 是编译完成的输出文件,123.asmx就是生成的文件名。攻击者只需要将.cs源代码文件放到 App_Code目录下,网站每运行一次就会生成一个名叫123.asmx的Webshell在/js/目录下
2)官网文件夹下 Bin 文件夹中存放着已经编译的程序集,并且在Web 应用程序任意处的其他代码会 自动引用该文件夹,典型的示例是为自定义类编译好的代码,可以将编译后的程序集复制到Web应用程序的 Bin文件夹中,这样所有页都可以使用这个类,Bin文件夹中的程序集无需注册,只要.dll 文件存在于 Bin 文件夹中,.NET 就可以识别它。如果更改了 .dll 文件,并将它的新版本写入到了 Bin 文件夹中,则 .NET 会检测到更新,并对随后的新页请求使用新版本的 .dll 文件
这个权限维持手法更是值得学习!
https://mp.weixin.qq.com/s/hUPJ_ya920i7ZV-drVXe2A