当前位置:网站首页>日常挖漏洞!佛系拿下对方服务器

日常挖漏洞!佛系拿下对方服务器

2020-12-28 14:00:15 Hack船长

扫码领资料

获黑客教程

免费&进群


作者:掌控安全-学员和谐文明

加入掌控都一年了!!!!

今年时间感觉过的贼快,可能是疫情的缘故吧!

去年不知道在哪里看到掌控的,感觉很神奇,算是缘分吧。。。想了几天就报名了 哈哈

今年比去年好像贵了一丢丢,果然还得乘早。。

周末日常练习起来

老规矩,随缘在FOFA上找特征【Google也一样等】,再随缘测试测试。


果然发现Struts2特征几枚,在此举例一个,其余就是批量上马。。



很老的一个洞但是很经典


这里抓取关键词,例如:filetype:actionext:action、*.do【大家可以上网查查哟】

看看命令执行:


然后呢当然是上传马了

【自带不行滴 当然选择冰蝎马了,密码自己改一个难度大一点呦】


可以看见上传成功了


用小蝎子去连接


感觉这种getshell不太爽,换一种方式吧

我使用的是Quasar【大佬都喜欢CS,我总是喜欢这些老古董,总是都试试呗】

github上可以下载开源的,当然生成的木马不是免杀的呦,还要自己去免杀。。。

【这里生成一个木马,按照步骤填写好端口,IP就好啦】


本地策略开启端口来


【这种东西当然需要肉鸡来操作,在肉鸡上上传刚才生成的木马】


【肉鸡python开启 web服务,为了让其他机器可以访问到你的木马并且下载】

哈哈 端口最好大一点

【这里打开冰蝎虚拟终端,去访问肉鸡的ip,下载生成的木马

(Fuck.exe是为了截图第二次做的,和前面的whost.exe一样的)】


访问成功后,肉鸡开启服务界面会变化,当然生成的.exe需要你去手动触发

(最好Fuck.exe来两次)

【看看触发了没】


看来是触发了的,当然看见这么多exe,

跑马场啊 哈哈,当然想想也是。。



【监听成功】




【比之前的冰蟹功能更加的多些 哈哈哈,当然为了后续的工作更加顺手些】


【远程监视对面的桌面 不能操作只能看呦 也挺刺激的】


当然这是自己的玩的,运气也有。这个没有报毒。

也有好几个站无法建立监听连接。

慢慢学习吧 。。。

反正以后程序文件必须虚拟机打开,毕竟被勒索过




就这样吧!


学习更多黑客技能!体验靶场实战练习

黑客视频资料及工具


往期内容回顾


疯狂暗示!一次对某色情app的渗透

手把手教你如何远程监听他人手机

从溯源到拿下攻击者服务器!





本文分享自微信公众号 - 暗网黑客(HackRead)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

版权声明
本文为[Hack船长]所创,转载请带上原文链接,感谢
https://my.oschina.net/u/4588149/blog/4864127