第一步 分析木马软件,高级设置里面的隐藏文件和文件夹 文件夹里面发现隐藏的系统文件 分析系统文件,发现经过加壳,用去壳器进行处理分析 发现去壳器会在软件运行后偷偷运行另外一个线程 线程作用是记下键盘记录以及获取QQ的Cookies
第二步 追查服务器IP,地址,是个肉鸡,放弃 追查网站IP,以IP地址作为域名架设的网站 网站后面加admin,提示页面错误 网站采用独立域名(给玩家访问的是域名A,后台用的是域名B) 用XSS攻击,注册会员账号,在修改会员资料的地方,全部打上xss脚本 拿到Cookies和后台地址 但站点设置了该属性,无法用COOKIES登陆后台(证明存在XSS漏洞)
第三步 换思路 使用假冒的flash网站植入木马 首先购买一个高仿flash的官网域名 GitHub上找到flash的源代码 利用源代码搭建好高仿网站后,运行木马客户端生成木马 将木马运用压缩方式捆绑到正规flash软件 将木马挂到高仿网站上 再通过xss的方式打入目标网站后台 有人登录后台会出现一条flash版本过低的更新提醒 点击更新会跳转到高仿网站,下载捆绑了木马的软件
第四步 等提示有主机上线,查该主机IP 通过屏幕监控查看对方操作 利用该木马文件查看功能,在C盘资料文件夹中找到照片,上面有后台地址与账号密码 没人的时候,伪造国外IP登录后台 查看网站后台与功能 寻找网站上传点
等等等等
