实战|对一次博彩站点的渗透测试
发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370
一次工作摸鱼的时候,找到一个博彩站点,看了一眼主站有waf显然打不通,结果在找其他资产的时候发现一个 "老破站" 。 找到它后台爆破的时候发现shiro反序列化,这不是直接一键getshll吗?(有手就行) 完事发现是管理员权限,我直接3389上线(不惯着你),先创建了一个隐藏用户,添加到管理员组里面开启3389端口,直接日。 接着我上线cs想看看能不能扩大成果,多拿几台机器,结果上去看啥也没有。 最后mimikatz读取出来administrator密码上去发现可以上本地数据库 到这里就对这个博彩渗透就结束了。文章转载于https://www.t00ls.com/articles-67025.html 文章来源:系统安全运维 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! 如侵权请私聊我们删文 END
- 上一篇:记一次攻防演练代码审计
- 下一篇:记某积分商城任意金额支付漏洞分析利用及思考
