记一次攻防演练踩着别人的webshell漫游内网

ivi

G4br1el 暗魂攻防实验室 2023-09-10 09:42 发表于广东

找到该系统有个帆软组件 ReportServer 目录遍历漏洞，还真的可以


然后遍历到了有个fff.jsp。访问一下有点像哥斯拉的webshell，刚好我同事有编辑过这个，很眼熟，直接webshell弱口令pass/key123这种，直接就踩上来了。


连接上webshell


搭建内网隧道，然后内网漫游


所以建议上马时改下弱口令。。。
所以建议上马时改下弱口令。。。
所以建议上马时改下弱口令。。。
所以建议上马时改下弱口令。。。
所以建议上马时改下弱口令。。。
所以建议上马时改下弱口令。。。
所以建议上马时改下弱口令。。。