背景

一个shiro命令执行并且有回显的口子，直接打各类内存马均失败，powershell一句话上线CS失败，查看进程发现有360、火绒，考虑到内存马不是我的研究方向，从文件下载方向突破

0x01 突破

常规的文件下载方式bitsadmin、certutil、ftp等均被拦截，掏出储备的一个免杀的文件下载方式，可成功下载exe文件，尝试下载免杀远控并执行，发现无法执行（原因未知），改为下载魔改过的免杀冰蝎到对应的web目录下，成功连接webshell

0x02 再突破

连接上webshell后，尝试执行远控仍旧失败，看来这条路行不通了，上传procdump抓取lsass的内存，想要下载到本地解密，发现不能下载（猜测可能是AV给拦截了），重新梳理下场景，想到既然是shiro的站点，那可以通过web服务下载文件，将文件移动到web目录后成功下载，随后通过mimikatz解出密码，密码真TM复杂啊，上传魔改过的免杀frp，建立隧道后，远程桌面成功连接

0x03 优化

远程桌面连接后，发现屏幕字体非常非常小，应该是我本机虚拟机的分辨率太高导致的，此时可以先修改本机的屏幕分辨率，再远程桌面连接后大小刚刚好，但是本机字体会非常非常大，且通过Win10自带的mstsc连接Windows Server 2008 R2时，是不能将密码拷贝到登录界面中，如果密码很复杂的话，不仅费力还容易出错，这里推荐使用UWP版本的远程桌面，可以先设置用户名密码再连接，也就是可以粘贴密码，在紧张的攻防中提供一些便利~

原文始发于微信公众号（卡卡罗特取西经）：从shiro命令执行到远程桌面登录