安全矩阵

 找回密码
 立即注册
搜索
查看: 2473|回复: 0

实战|记一次"假证诈骗站"的渗透测试

[复制链接]

855

主题

862

帖子

2940

积分

金牌会员

Rank: 6Rank: 6

积分
2940
发表于 2021-8-12 10:05:59 | 显示全部楼层 |阅读模式
原文链接:实战|记一次"假证诈骗站"的渗透测试

在群里闲聊时,看到颜夏大佬在打钓鱼站,由于是虚拟机主机就直接删站挂黑页了(装装逼嘛)





接下来轮到我了,首先信息收集一波


找到了旁站,随便打开一个


弱口令进入后台


找到上传点:


上传shell


上传失败
尝试使用图片马,改成php试试


这就很神奇了


估计判断了文件头


好家伙报错


后台找到一个文件管理器,权限还蛮大的~这里可以直接创建webshell文件
​​
那我直接找找之前上传的马子先


尝试编辑


好家伙直接空的
填写一下哥斯拉的马子


保存,getshell成功


好家伙一个站群


用cs上线




打开payload复制




直接用cs提权~右击目标然后选择执行——>提权

最下面两个uac开头就是bapassuac提权模块(忘记截图了)
提权成功后
开启rdp远程连接上去了


给奕天policeman处理~

内容来源:www.colcool.com/archives/120/


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 13:36 , Processed in 0.013256 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表