目录
0x01环境配置
攻击者主机:Win7 (192.168.30.221)
受害者主机:winXP(192.168.30.134)
1. 关闭防火墙
两台主机均关闭防火墙
2. 冰河木马下载解压
- 可以先下载到Win7主机,双击安装
自定义安装(要记住自定义安装的文件夹)
选择安装路径
一键安装
2. 打开所选择安装的文件夹,进行解压
双击提取出来(类似解压)
提取密码为:www.downcc.com
3. 攻击者主机(Win7)打开g_client.exe
-
打开解压后的文件夹
-
双击打开
-
打开后的应用面板
4. 受害者主机(WinXP)打开g_server.exe
- 将g_server.exe放到受害者主机(可以先复制到物理机再从物理机复制到受害机),双击运行
- 查看进程
netstat -an
出现7626端口则表示木马运行成功,此时也会出现Kernel32进程
- 查看受害者主机的ip为:192.168.30.134
5. 攻击者进行连接受害者主机
-
扫描可连接主机
-
从结果可以看出扫描出一台设备(WinXP主机)
-
拿下WinXP主机,可以进行查看文件信息
0x02 远程控制
1. 远程桌面控制
2. 冰河信使进行通信
3. 攻击者创建新建文件夹
在受害者主机可以看到创建成功
0x03 卸载冰河木马
1. 远程自动卸载冰河木马
再次查看端口与进程,发现7626端口关闭,进程Kernel32.exe已经关闭
2. 手动卸载冰河木马
四步骤:
- 还原自启动注册表
冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion\Run下扎根,键值为C:/windows/system/Kernel32.exe,用于设置开机自启,找到并删除。
1)受害者主机打开注册表
2)进入HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion\Run,找到键值为C:/windows/system/Kernel32.exe,找到并删除。
- 还原txt文件的注册表信息。冰河通过修改txt文件注册表信息的键值对,使得sysexplr.exe和txt文件关联,当编辑txt文件时,就会再次激活冰河,找到该键值对并还原为notepad。
在“HKEY_CLASSES_ROOT/txtfile/shell/open/command”下找到默认这一项,右键修改!注意是修改不是删除!!!将他的值改为:C:\WINDOWS\notepad.exe %1。
1)进入注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command
2)选中,将值修改为C:\WINDOWS\notepad.exe %1
- 结束冰河的核心进程Kernel32.exe
- 删除系统目录下的Kernel32.exe和sysexplr.exe文件。文件位置为:windows/system32。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。找到并删除
1)删除Kernel32.exe
2)删除sysexplr.exe
查看端口发现7626端口已经关闭,成功卸载冰河木马
扫一扫
2772
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
