weixin_53736204的博客

红队实战系列，主要以真实企业环境为实例搭建一系列靶场，通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟ATT&CK攻击链路进行搭建，开成完整闭环。后续也会搭建真实APT实战环境，从实战中成长。

系统⽤户：UID(0-999)普通⽤户：UID(1000-*)root⽤户：UID为0，拥有系统的完全控制权限。

应用场景1、常规某个机器被钓⻥后⻔攻击后，我们需要做更⾼权限操作或权限维持等。2、内⽹域中某个机器被钓⻥后⻔攻击后，我们需要对后续内⽹域做安全测试。

MSF所⽤功能主要可分为这⼏个模块，每个模块都有各⾃的功能领域，形成了渗透测试的流程模块路径：/usr/share/metasploit-framework/modules/漏洞利⽤(exploit)：/usr/share/metasploit-framework/modules/exploitspayload模块路径：：/usr/share/metasploit-framework/modules/payloads。

将代理的地址改成wifi网卡的ip地址，然后监听的端口随便，我改成了9876，因为越奇怪的端口就越不容易冲突，抓包就会更顺利。外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传。

llS Server 在 Web 服务扩展中开启了 WebDAV，配置了可以写入的权限，造成任意文件上传版本:lIS 6.0。

简介]ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的，是一个快速、兼容而且简单的轻量级国产PHP开发框架，诞生于2006年初，原名FCS，2007年元旦正式更名为ThinkPHP，遵循Apache2开源协议发布，从Struts结构移植过来并做了改进和完善，同时也借鉴了国外很多优秀的框架和模式，使用面向对象的开发结构和MVC模式，融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。

JBoss是一个基于J2EE的开发源代码的应用服务器。JBoss代码遵循LGPL许可，可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器，支持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器，一般与Tomcat或Jetty绑定使用。在J2EE应用服务器领域，JBoss是发展最为迅速的应用服务器。由于JBoss遵循商业友好的LGPL授权分发，并且由开源社区开发，这使得JBoss广为流行。

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，默认端口:7001 WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

tomcat默认的conf/server.xml中配置了2个Connector，⼀个为 8080 的对外提供的HTTP协议端⼝， 另外⼀个就是默认的 8009 AJP协议端⼝，两个端⼝默认均监听在外⽹ip。由于Tomcat AJP协议设计上的缺陷，攻击者通过Tomcat AJP Connector 可以读取或包含Tomcat上所有Webapp⽬录下的任意⽂件。Tomcat允许适⽤put⽅法上传任意⽂件类型，但不允许jsp后缀⽂件上传，因此我们需要配合 windows的 解析漏洞.Tomcat⽂件包含漏洞。

该漏洞是由于Apache HTTP Server 2.4.49版本存在⽬录穿越漏洞,在路径穿越⽬录 Require all granted允许被访问的的情况下（默认开启），攻击者可利⽤该路 径穿越漏洞读取到Web⽬录之外的其他⽂件。在服务端开启了gi或cgid这两个mod的情况下，这个路径穿越漏洞将可以执⾏任意cgi命令（RCE）

应用广泛，如BBC用在其动态内容展示平台，Credit Suisse用在其内部的商品部门的市场框架，Meebo，用在其社交平台(web和应用程序)。在2017年11月15日，CVE-2017-12635和CVE-2017-12636披露，CVE-2017-12636是一个任意命令执行漏洞，我们可以通过config api修改couchdb的配置query_server，这个配置项在设计、执行view的时候将被运行。Rsync 默认允许匿名访问，如果在配置文件中没有相关的用户认证以及文件授权，就会触发隐患。

FTP 弱口令或匿名登录漏洞，一般指使用 FTP 的用户启用了匿名登录功能，或系统口令的长度太短、复杂度不够、仅包含数字、或仅包含字母等，容易被黑客攻击，发生恶意文件上传或更严重的入侵行为。步骤一:对目标环境在资源管理器中用以下格式访问…如果该服务器开启了匿名登陆，则可直接进行内容查看。步骤一：添加ftp站点–>下一步---->分配IP无ssl----->匿名，匿名用户—>完成。虚拟机：windows server 2012。

Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块，借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator启用的情况下，如果没有做好相关权限控制，非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息，从而导致信息泄露甚至服务器被接管的事件发生。Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块。步骤二:拼接以下路径查看泄露的数据.

RabbitMQ是目前非常热门的一款消息中间件，基于AMQP协议的，可以在发布者和使用者之间交换异步消息。消息可以是人类可读的JSON，简单字符串或可以转换为JSON字符串的值列表。步骤一:使用以下Fofa语法对RabbitMQ产品进行搜索。步骤二:在打开的页面中可输入默认的账号和密码进行登陆。

ActiveMQ是一款流行的开源消息服务器。默认情况下，ActiveMQ服务是没有配置安全参数。恶意人员可以利用默认配置弱点发动远程命令执行攻击，获取服务器权限，从而导致数据泄露。，默认用户名和密码是 admin/admin，在打开的页面输入。步骤一:使用以下Fofa语法搜索产品。步骤二:ActiveMQ默认使用。

基金会所开发的分布式系统基础架构，由于服务器直接在开放了Hadoop机器HDFS的50070 web端口及部分默认服务端口，黑客可以通过命令行操作多个目录下的数据，如进行删除，下载，目录浏览甚至命令执行等操作，产生极大的危害。步骤一:使用以下FOFA语法进行Hadoop产品的搜索。步骤二:开启页面直接访问不经过用户密码验证.Hadoop是一个由。

这两个端口都是提供 Api Server 服务的，一个可以直接通过Web 访问，另一个可以通过 kubectl 客户端进行调用。如果运维人员没有合理的配置验证和权限，那么攻击者就可以通过这两个接口去获取容器的权限。步骤二:在打开的网页中直接访问 8080 端口会返回可用的 API列表。步骤一:使用以下Fofa语法搜索Kubernetes产品。​ Kubernetes 的服务在正常启动后会。

Docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的LINUX机器上，也可以实现虚拟化。Docker swarm 是一个将docker集群变成单一虚拟的docker host工具，使用标准的Docker API，能够方便docker集群的管理和扩展，由docker官方提供。

Kibana是一个开源的分析与可视化平台，设计出来用于和Elasticsearch一起使用的。你可以用kibana搜索、查看存放在Elasticsearch中的数据。Kibana与Elasticsearch的交互方式是以各种不同的图表、表格、地图等直观地展示数据，从而达到高级的数据分析与可视化的目的。Elasticsearch、Logstash和Kibana这三个技术就是我们常说的ELK技术栈，可以说这三个技术的组合是大数据领域中一个很巧妙的设计。一种很典型的MVC思想，模型持久层，视图层和控制层。