cs指令看这里!实战 | 一次拿医院shell的全过程

欢迎搜索公众号：白帽子左边一个

每天共享更多黑客技术、工具和系统的视频教程

作者：控制学习者-cyanswetgare

0x01前缀

有一天，同事来找我，让我找webshell上传方法。

一家医院，在菜鸟src子域名ip下的。

0x02 端口扫描

发现除了 3389 8080端口有特点。其余无

8080看看

phpinfo / phpmyadmin 两个突破点

windows系统

phpmyadmin 比较老能直接进。无密码登录等

0x03 phpMyadmin

phpmyadmin 写日志的方式 提webshell

太老了。连直接改都不行，

直接执行SQL修改日志把。
根据网站的报错绝对路径信息，修改

((想必这里有人问我为什么不直接写webshell，这里环境有点特殊。

ebshell识别不到。换种思路突破

• 2020/7/13 补充这里webshell不能直接写，是因为医院的数据库查询INFO特别多，会导致webshell识别不到，如果是写入SYSTEM($_GET[cmd]) 人工传参是可以传参的到的，我换了antsword 菜刀其他版本 都统一回显空。error等，这里网站也下架了我也无法截图给你们看，要不我就随手画一个？((小声BB

---

传入传参进去，echo 1 发现有回显，说明写system($_GET[])成功

可以执行。直接上CS

命令执行直接打过去

上来就是SYSTEM权限。

提权都免了

0x04 提取密码

阿这

抓不了明文。

只能抓hash了

0x05 cs 具体流程

cs4

建立listener

名字随意填

Payload 一般选 http 和https 两种

http hosts 是你要反弹回来的主机地址

http host (stager)可以不用动

http port (C2) 自己想要绑定的端口，最好先检查 端口是否有占用

---

建立好了监听会跳出 listen start

接下来生成payload

Attack > Spawns backdoor(第一个) > powershell Generator

选好你刚刚建立的监听器。payload 根据你自己想怎么打就怎么设的设置，

x64 看目标主机是不是64位 若是勾选，不是不勾选
。

生成到xxx路径

欢迎搜索我的公众号：白帽子左一