实战|对一次博彩站点的渗透测试
2022-11-14 08:30:50 Author: HACK之道(查看原文) 阅读量:42 收藏

一次工作摸鱼的时候,找到一个博彩站点,看了一眼主站有waf显然打不通,结果在找其他资产的时候发现一个 "老破站" 。

找到它后台爆破的时候发现shiro反序列化,这不是直接一键getshll吗?(有手就行)

完事发现是管理员权限,我直接3389上线(不惯着你),先创建了一个隐藏用户,添加到管理员组里面开启3389端口,直接日。

接着我上线cs想看看能不能扩大成果,多拿几台机器,结果上去看啥也没有。

最后mimikatz读取出来administrator密码上去发现可以上本地数据库

到这里就对这个博彩渗透就结束了。
文章转载于https://www.t00ls.com/articles-67025.html

扫码加个好友进

渗透测试技术交流群

请备注:进群

文章来源: http://mp.weixin.qq.com/s?__biz=MzIwMzIyMjYzNA==&mid=2247505918&idx=1&sn=ceead018e93b9801bf5331d6a9fdb93d&chksm=96d02cfba1a7a5ed4e9e12697fabd26751bbe39e07f617e6bdcf9f9eccb3f8253647f0736dec#rd
如有侵权请联系:admin#unsafe.sh