前言

周末时间中午吃饱喝足后,闲着无聊上线玩了几把游戏,听着音乐,本想周末就这样悠闲的过的,怎么老输,开始键盘侠上线 ,没办法,人菜又瘾大。

PS:本文仅用于技术讨论,严禁用于非法用途,违者后果自负,与本站及作者无关。

1606133402_5fbba69ae039bf265a1ea.png!small?1606133403945

S2-046打点

突然手机微信响了下,说有个测试,要开始干活。

给一了个IP地址,先是进行一些日常的信息收集, 端口  系统的等, 密码弱口令测试,爆破等没有发现。

在谷哥查找历史中发现有个7080这个端口快照,去看看 浏览器打开回到页面发现了.action的,可以用下s2的漏洞试下可以用下s2的漏洞试下。

http://x.x.x.x:7080/xxxx.action。

1606133454_5fbba6cebcfd8c25fcea0.png!small?1606133455485

存在漏洞的,命令执行一下,最高权限。

1606133476_5fbba6e4dbcddfc572644.png!small?1606133477743

看下目录在那。

1606133496_5fbba6f8e1f6fad02c12d.png!small?1606133497737

现在可以上传个木马上传先上把带有文件框的上传到服务器那

1606133513_5fbba7095d5556c682943.png!small?1606133514099

上传完成后再到浏览器打开这个页面进行你要上传的小马上传到服务器,路径那个把上面那个直接复制到那个路径里。

1606133521_5fbba711af8c46375ea79.png!small?1606133522475

这里我测试了哥斯拉的马,能上传但连接不上。

1606133529_5fbba7195f001cad1ab6d.png!small?1606133530204

后面又测试了Behinder 3.0  Beta_3 版本 也连接不上。

1606133542_5fbba72623be031c0da2c.png!small?1606133542905

1606133552_5fbba730ba0cc6f3aff74.png!small?1606133553859

BehinderV3.0 B6据点

MMP的去看看Behinder的最新版本更新到那了,更新到6了,我还在用3。更新一波,再来过干他。

1606133567_5fbba73f7bcf715454d15.png!small?1606133568544

成功了,还是最新版本好用,以后要时常更新自己的工具啊。

1606133578_5fbba74a0c9e04654dd29.png!small?1606133578972

接下来看看有什么东西,找找配置文件,目录下面这个。

Tomcat用户信息、密码等。

1606288802_5fbe05a2c978ca89ee2bb.png!small?1606288804050

数据库信息。

1606133609_5fbba769db09d31388644.png!small?1606133610748

找了找,差不多了,然后看看下服务器上有没有安装杀毒软件等,命令运行tasklist。

可以看到是安装有360杀毒软件的,年轻人不讲武德,那我玩偷袭,要免杀。

1606133627_5fbba77b01c42b39d6c39.png!small?1606133627869

查看了下目标还不出网,没开3389端口,这时候就要用到内网穿透工具了 ,也可以在cmd命令行,把3389开了。

1606133638_5fbba7861963b3b042076.png!small?1606133638885

不出网的上传cs马也返回不了,先把regeorg搞起来先。

使用regeorg进行反向代理

下载地址在https://github.com/sensepost/reGeorg,用法也有说明了,在这就不多讲了。

1606133649_5fbba7911448b8266b739.png!small?1606133649883

上传对应语言的脚本到目标服务器的网站目录下,比如你要上传的服务器用的jsp,你就上传jsp的。

1606133660_5fbba79c905658ed4c80c.png!small

可以看到上传成功了。

运行reGeorgSocksProxy.py,-p为指定隧道的端口,-u为刚刚上传的tunnel文件地址。

比如python reGeorgSocksProxy.py -p 10086 -u http://x.x.x.x/tunnel.jsp。

这样的目的是为了进入内网渗透,能连入内网搞事情。

本机开始运行程序,又出些问题,连不出去,后来去看了我的python,我安装有python2.7和python3.8,在想是不是起冲突了,我把python3.8的删除了,再试下,成了……

报错的:

1606133714_5fbba7d2b2b9646e76001.png!small?1606133715517

正常的:

1606133744_5fbba7f08457505835b84.png!small?1606133745345

1606133788_5fbba81c26d9ed74f2a09.png!small

搞好一个到下一个,慢慢来。

Pystinger上线cs

通过webshell实现内网SOCK4代理,端口映射。

可直接用于metasploit-framework,viper,cobalt strike上线下载地址在这。

https://github.com/FunnyWolf/pystinger/releases

用法:

建立在拿到的shell,有上传功能。

先上传工具到目标服务器上针对什么的web系统就用什么的脚本,我这里是jsp,那我就上传jsp。

1606133814_5fbba836115cf2344551a.png!small?1606133814827

1606133827_5fbba843d7ddb4ef3b3c1.png!small?1606133828724

上传成功后 访问下能访问不,当出现这个UTF-8就成功了。

1606133836_5fbba84c60155ad682969.png!small?1606133837139

回到shell这边 还要把一个上传上去。

stinger_server.exe。

将 stinger_server.exe上传到目标服务器 ,执行如下命令:

1606133949_5fbba8bdc1c6fa034bbe8.png!small?1606133950587

在cmd命令下输入 start 加目录下/stinger_server.exe 0.0.0.0 执行。

这里说明下,利用了连接在服务器进行了客户端进行连接我们的cs服务出网。

同时也要注意下不要直接运行D:/XXX/stinger_server.exe,会导致tcp断连。

接下就是在vps执行stinger_client 这个工具(要是win系统就用exe)。

1606133871_5fbba86fc41d2adc7e37a.png!small?1606133872705

./stinger_client  -w http://x.x.x.x:7080/proxy.jsp -l 0.0.0.0 -p 60000。

成功之后vps上面会返回 一个60020端口信息,ok。

1606133989_5fbba8e57e6d608fef942.png!small?1606133990400

到这里就完成了Pystinger上线的事了。

cobalt strike马免杀

接下来就是cs用法了这里要建立一个监听来监听内网的。

1606134002_5fbba8f20adfd95e824c2.png!small?1606134002931

监听本地就好  端口号不要选择错了,用上面60020那个监听端口。

1606134041_5fbba919748bdb5c160b7.png!small?1606134042207

完成后搞个cs马做免杀,根据之前的进程查看可以看到是安装有360杀毒软件的,那就要免杀了,不然过不了杀软,这里我用zirikatu做了一个免杀。

下载地址 https://github.com/pasahitz/zirikatu.git

1606134051_5fbba923b673f3003d1fa.png!small?1606134052479

然后放到了C:/tmp/下面执行,像上传目录方面,程序运行时可能生成临时文件,所以上传的目录最好具有读写权限,如 C:\Windows\Temp\ 是个选择。

运行看一看。

1606134061_5fbba92d2f39166209401.png!small?1606134062121

给我连!不出网上线成功。

1606134070_5fbba93677cc289c5b9d3.png!small?1606134071180

cobalt strike上线

1606134080_5fbba940288ce12aa1f95.png!small?1606134081064

1606134281_5fbbaa09798d2d8f91dc7.png!small?1606134282420

抓下密码。

1606134087_5fbba947e3e5883c37f16.png!small?1606134088767

密码抓出来。

1606134105_5fbba959d084509951170.png!small?1606134106597

我在这cs这开启3389 端口。

1606134128_5fbba9708d234fe325c1a.png!small?1606134129376

可以看到已经开启起来了。

1606134135_5fbba97771dce2a5e51e6.png!small?1606134136242

reGeorg+Proxifier走起。

1606134144_5fbba9800c99040b72006.png!small?16061341447471606134150_5fbba986464bf2b6ecd7f.png!small?1606134151055

连入我们刚刚抓到的密码上去。

1606134166_5fbba99644beca76e0685.png!small?1606134167083

看了下时间,点到为止,打完收工。

本文作者:goodxb