对一次博彩站点的渗透测试

2022-09-04 00:27:59 59 11406
在一次工作摸鱼的时候,找到一个博彩站点,看了一眼主站有waf显然打不通,结果在找其他资产的时候发现一个 "老破站" 。
         


         
         找到它后台爆破的时候发现shiro反序列化,这不是直接一键getshll吗?(有手就行)







完事发现是管理员权限,我直接3389上线(不惯着你),先创建了一个隐藏用户,添加到管理员组里面开启3389端口,直接日。



接着我上线cs想看看能不能扩大成果,多拿几台机器,结果上去看啥也没有。



最后mimikatz读取出来administrator密码上去发现可以上本地数据库






到这里就对这个博彩渗透就结束了。

关于作者

评论59次

要评论?请先  登录  或  注册