本文介绍了通过端口扫描发现漏洞的利用过程,包括访问Joomla管理界面、获取数据库凭证、SSH连接容器及执行反向连接,最终通过内核模块实现容器逃逸,成功反连宿主机。
本文分析了Sysmon日志以调查攻击者活动,发现攻击者通过updater.hta启动powershell.exe,下载恶意文件supply.exe,并利用ftp.exe执行命令。恶意软件依赖Python代码,最终尝试通过端口9898建立反向连接。
完成下面两步后,将自动完成登录并继续当前操作。
