历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    cyberstrikelab—SweetCake
    Wh1teSu 渗透测试 171浏览 · 2025-03-13 12:39

    cyberstrikelab—SweetCake
    第一台机器
    信息收集
    根据提示有S2
    fscan扫一波
    JSON
    复制代码
    只有一个8888端口,打开是tomcat
    目录扫描
    进行目录扫描,扫了半天没戏,后面使用seem师傅之前发的红队目录字典扫了43w,最后一个扫出来......


    漏洞发现


    漏洞利用
    使用工具梭哈


    传一个目录到根目录
    猜测有杀软,使用哥斯拉特战版做混淆






    发现有Windows Defender,掩日做免杀(实际上这个杀软没开)
    权限较低上线CS提权,但是反向上线不了,后面上去发现是因为防火墙,所以就有几个打法了...
    方法一
    因为这里Windows Defender其实是没开的,所以我们可以直接用BadPotato.exe提权


    然后就可以创建后门用户开启3389
    开3389不能直接这样执行,因为引号会受到影响
    写一个bat
    直接执行bat


    上去关闭防火墙


    这里也可以直接用BadPotato.exe执行命令关闭防火墙,但是后门也要创建用户上来的,直接上来关。
    关闭Windows防火墙的命令
    对于所有网络配置文件(域、专用和公共),您可以使用以下命令:
    这条命令会关闭适用于域网络、专用网络和公共网络的所有Windows防火墙配置文件。
    仅关闭特定网络配置文件的防火墙
    如果您只想针对特定的网络配置文件关闭防火墙,可以分别使用下面的命令:
    关闭域网络的防火墙:
    关闭专用网络的防火墙:
    关闭公共网络的防火墙:
    执行上述任一命令前,请确保您具有管理员权限,并谨慎考虑关闭防火墙带来的安全风险。关闭防火墙会使您的系统或网络更容易受到未授权访问的影响。如果是在测试环境中操作,请确保在完成测试后重新启用防火墙。重新启用防火墙只需将上述命令中的off替换为on即可。
    方法二
    反向连接失败就试试正向连接
    上线Vshell
    先用Vshell试试,这个正向连接好用
    发现能成功上线


    上线CS
    然后上线CS
    先给本地机器上线CS
    然后生成一个4444的正向客户端
    再生成一个5555的正向客户端
    这里4444是用来上线CS的,5555是用来提权的
    (开始想直接用Bad土豆添加一个后门用户开3389,但是3389没开启成功,估计是引号的问题)
    Vshell执行4444客户端
    然后用Bad土豆执行5555客户端


    Stowaway搭建第一层代理
    攻击机
    目标机
    第一层内网信息收集
    上传fscan
    抓取一波明文和hash


    Struts@cslab
    第二台机器
    这里估计是服务掉了,一直没起来,Air师傅之前打成功了。
    通达OA




    直接梭哈,但是执行不了命令


    参考:https://blog.csdn.net/u010025272/article/details/131016142
    通达oa数据库提权


    直接读取数据库配置文件
    root/HvaaOUr6n^v`_dyw@0YjA
    在mysql的目录下移⼊lib_mysqludf_sys.dll文件,lib_mysqludf_sys.dll可以使用sqlmap自带的,但是
    sqlmap默认做了混淆,需要使用其自带的cloak⼯具转换才能使用。
    lib和plugin目录原本是没有的,需要自己创建








    使⽤badpotato提权,但是靶机实在是太卡,输⼊命令半分钟才有回显,⽽且由于编码等种种原因执⾏命 令有时会报错,所以在1.bat中输⼊命令 使⽤badpotato执⾏即可。之后⽤rdp连接,直接读flag


    第三台机器
    发现是积木报表


    漏洞利用
    工具梭哈一下


    发现是JeecgBoot AviatorScript表达式注入漏洞
    点击新建报表,采用 BP 抓包进行重放,修改为如下 POC,重放两下,响应结果如下:此处采用 save 接口进行注入:


    随后使用 show 接口进行代码执行触发,发现 text 中的恶意代码已被执行:POC:


    直接冰蝎4连接
    地址:http://localhost:8085/jmreport/showme 密码: password 请求头: Referer: Fvjxgwzbm


    这里有杀软,做一下免杀


    上线cs
    正向上线,反向参考前面
    用之前的5555正向客户端


    抓一波hash






    aviator!321
    开启3389
    关闭防火墙


    第四台机器
    xshell
    发现桌面有一个xshell


    抓一波明文
    垃圾xshell不知道怎么传文件,直接用XTerminal连接
    Stowaway搭建第二层代理
    攻击机
    目标机


    第五台机器
    第二层内网信息收集
    ms17010
    这里发现一个ms17010,直接msf梭哈,这里如果打不通就用1433端口

    0 人收藏 0 人喜欢 转载 分享
    1 条评论
    某人
    表情
    可输入 255
      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持