专栏名称: 渗透师老A
不一样的角度学习五花八门的渗透技巧,了解安全圈背后的故事
目录
相关文章推荐
设计诗designer  ·  carola vannini丨现代设计下的优雅 ·  17 小时前  
字体设计  ·  12张徽章形式的字体Logo设计 ·  2 天前  
优秀网页设计  ·  周星驰新片《少林女足》未拍先火!两张神秘AI ... ·  2 天前  
51好读  ›  专栏  ›  渗透师老A

授权实战|记一次Shiro遇到的坑

渗透师老A  · 公众号  ·  · 2022-12-18 09:47

正文

客户授权的一次实战!

当接到任务的时候进行了简答的信息收集没想到很快找到了入口点,通过指纹识别看到了使用的是Shiro框架,使用飞鸿大佬的工具测一下。

结果还真的有,感觉美滋滋,自以为是Linux系统自已也没有看,就傻呵呵的反弹半天shell发现弹不回来,利用DNSlog查看一下系统原来是windows系统,哭了,白折腾这么久。

试着上传一个冰蝎webshell来管理,这里有一个小技巧,如果不知道该传在什么路径下可以使用Ctrl+U打开源码找源码中图片存放的位置,然后将webshell放入,我这里遇到一个小问题,就是无论怎么传,都会回到哪个登录页面,因为飞鸿这个没有回显,我便去换一个有回显的软件看一下是不是有杀软。

发现果然存在杀软可能被拦了,试着做一个哥斯拉马试试, 然后将飞鸿下面的shell换掉,改为相同的名称

然后试着传一下,发现可以正常访问,说明传进去了,只想说一句哥斯拉NB。

发现可以正常执行命令,但是出现的都是乱码,我们可以修改一下编码方式,就可以正常回显。







请到「今天看啥」查看全文