МыможемотдаватькомандывоболочкеWeevely,которыебудутпередаваться скомпрометированному хосту напрямую.

weevely> whoami ECORP-PRD-API01\Administrator ECORP-PRD-API01:C:\xampp\htdocs\xampp $

Первым шагом после получения оболочки Weevely будет удаление артефакта веб-оболочки xampp.php, созданного ранее.

ECORP-PRD-API01:C:\xampp\htdocs\xampp $ del xampp.php

На этом этапе мы можем свободно перемещаться по серверу и собиратьлюбую информацию,которая будет использована на более поздних этапах атаки. У нас есть полный контроль над сервером, и мы можем запускать даже более продвинутые обратные оболочки,такие как Meterpreter, если необходимо.

Даже если скомпрометированный сервер отделен от остальной части сети, у нас все равно естьдоступ к коду приложения.Мы можем взломать его,чтобы собрать учетные данные сети у аутентифицированных пользователей и затем атаковать корпоративную сеть.

Все зависит от объема задачи.

Очистка

Как уже отмечалось, после того как задача выполнена, мы должны убедиться,что убрали все артефакты,которые могут представлять угрозу для клиента. Во время этой атаки мы создали три файла, которые можно использовать для атаки на клиента.Маловероятно,что кто-либо сможетиспользоватьнашу оболочку Weevely, однако разумно удалить все,что осталось.

Созданныйнамитестовыйфайлphpinfo.php такжедолженбытьудален.Хотя он не предоставляетникакого удаленногодоступа,он отображаетинформацию, которая может быть использована при атаке.

Таким же образом, как мы запрашивали переменные MySQL, чтобы выяснить расположение приложения на диске, злоумышленник может использо-