**计一次由struts2 0-16引发的内网漫游**

计一次由struts2 0-16引发的内网漫游（涉及敏感问题一律不截图）
Struts2是一个基于MVC设计模式的Web应用框架，在众多的发行版本中存在不同的漏洞，这里有一个前辈的总结：“”https://blog.csdn.net/lipei1220/article/details/77868295?locationNum=2&fps=1”。不过停在了048上，最新的为052在github上以有利用代码。
好了废话不多说，这次遇到的网站由于比较垃圾，还存在struts2 0-16的漏洞，可以 远程执行命令。网站和具体的操作我就不提了，说下思路。我使用的k8的struts2漏洞检测工具，输入whoami返回为root，说明为最高权限。但是远程执行命令的漏洞都存在一个缺点，就是不能像终端一样返回交互式的命令（比如没法进行需要二次输入的操作，修改密码，添加用户之类的（其实是可以的，怪我我太菜！））。 我遇到这个漏洞的时候还是很兴奋的，毕竟是个大网站。
下面说下我的思路吧！
第一
读服务器的密码文件，和网站的配置文件
（cat /etc/passwd cat /etc/shadow cat ../../../service.xml）
发现了存放在服务器里hash加密的密码
于是我把字符串放到了国内国外的各种平台开始破解，自己也用hashcat破解，不幸都失败了，期间还求助了万能的淘宝卖家。
破解密码这条路由于设备和技术局限失败了。。。。。
第二
直接传隧道马进内网
这里我用的是 “双内网渗透代理之reGeorg+Proxifier”
（可以传隧道马为什么不传入功能强大的大马？因为这次遇到的是java开发的网站，网站没有使用上传组件，以及一些其他问题，传入的各种大马小马都不能运行服务器返回500错误。）
代理出来之后就相当于我们在网站的内网环境下了。看了一下内网为192.168.1-14./27 192.168.63. /27
其实这里就可以使用内网工具开始工作了，但是这个双内网代理由于走的是80端口，加之我开了vpn速度之慢，完全没法使用。
第三
liunx服务器其实可以一句话修改密码，和添加用户。但最开始由于吃了不好好学习的亏没有想到这么多！
一句话修改密码 #echo “123456” | passwd –-stdin root
一句话添加用户创建密码添加到root组 useradd -p （）openssl passwd -1 -salt 'lsof' admin（） -u 0 -o -g root -G root -s /bin/bash -d /usr/bin/lsof lsof
去掉括号把括号改为反引号： https://blog.csdn.net/pangpro/article/details/53841920
直接输入命令可不行，把代码存为.sh脚本文件上传到服务器，修改权限，使用bash执行脚本就ok拉，至于为什么要使用bash 是因为要跨目录执行。
好了现在有账号密码了，加之我们开始的代理木马现在可以在内网操作了。
ifconfig看一下网站的ip打开代理直接使用ssh连接。（涉及敏感问题一律不截图）
使用刚才的账号登录上去，直接在本地使用msf生成一个木马然后使用scp命令将木马上传到网站服务器就ok 。
在ssh界面输入：setsid ./木马 将木马放入后台执行这样在断开ssh的时候木马也可以运行。
接着就是msf开启监听了！
不过我由于嫌弃隧道太慢直接使用了一个外国的VPS安装的msf 获取会话以后关掉代理也可以使用msf直接对目标进行渗透！
后面的操作就下次再总结为了！