网安引领时代,弥天点亮未来
1.接着前面两篇
(1).HVV之WIFI蜜罐反制红队
(2).HVV之是蜜罐又不是蜜罐
2.程序开发为了调试PHP代码通常会去配置 XDebug 进行调试。
3.然后就是在 XDebug 中,可以配置连接远程 IDE 进行调式。
4.每一个配置项是什么意思,都已经标注了说明。
5.按照这个配置好之后,在自己的服务器上打开 phpstorm,并且监听 8000 端口
6.然后点击小电话的按钮进行端口的监听
7.可以在外面扫描一下端口看看,确认开启了 8000 端口
8.然后在我的服务器开启科莱流量分析系统,并且设置过滤器,只接收目的端口是 8000,为了排除没有用的数据包.
9.当用户访问网站的时候,因为网站开启远程 XDebug,所以这个时候会向远程的 8000 端口请求调试代码,这个时候也会带上数据包了,可以发现远程服务器的 ide 接受到了请求,已经卡住,可以进行断点调试了
10.但是由于卡在断点位置,长时间没有进行下一步,服务器会因为长时间提示了 Internal Server Error
11.为了不让访问网站的用户,看出来有卡顿的现象,超时时间设置为xdebug.remote_timeout = 1,这样用户访问的时候,看不出来网站正在被调试,因为卡顿的时间非常的短。
12.然后对数据包进行分析,可以发现抓取到用户网站的 UA 标识
13.并且还能抓到用户的访问了哪个文件
14.还有 cookie 参数
15.并且这样留置后门之后杀毒软件也无法进行查杀,因为就是正常的配置文件.
16.欢迎加入弥天安全实验室交流群.
知识分享完了
喜欢别忘了关注我们哦~
学海浩茫,
弥 天
安全实验室
原文始发于微信公众号(弥天安全实验室):HVV之利用Xdebug流量转发进行权限维持
