PoisonIvy Rat 远程溢出实战

连接设置：连接到IP地址92.168.124.134，端口号3460，标识为testGroup，密码为admin。无需通过代理连接。安装ActiveX插件并启动，ActiveX密钥为{344D13DD-52AF-DD3F-2A33-ED4792414430}。复制文件到系统文件夹，并进行文件混淆处理。

在DEMO机器中运行后，连接就会建立。可以使用如Xuetr之类的工具进行木马查杀。在Ring3层下，可疑进程、可疑连接、可疑DLL模块和可疑启动项等都是查杀的重点。通过观察网络连接，可以发现即使没有打开IE浏览器却出现了IE的进程，并且已经处于连接状态，从而获取C&C的IP地址。

接下来，请准备好使用Msf的黑火星神器。在msf命令行中，通过搜索找到Poison Ivy的exp位置，并设定使用。通过查看设定选项，只需要设定远程IP（C&C服务器）地址即可。设定完成后，检查目标地址是否存在漏洞，如果一切正常，就可以开始利用漏洞进行攻击了。

攻击成功后，会返回一个反连的meterpreter会话。测试了全补丁版本的Windows 2k3 enterprise系统，但由于DEP和ALSR技术的原因，没有完全绕过防御机制。具体的原因还需要进一步深入研究下去。

以上内容生动展示了Poison Ivy Exploit在攻击过程中的作用和使用方法。通过详细的步骤介绍和丰富的技术细节，让读者能够深入理解并应用这一技术。也提醒广大用户加强网络安全防护，提高警惕，避免受到类似攻击的危害。