準備工作：

1，在客戶的內(nèi)網(wǎng)環(huán)境部署一個Windows7系統(tǒng)，在這個系統(tǒng)上把finecms這個應用部署上去。把finecms安裝之后，和客戶溝通，把這個應用的地址映射到公網(wǎng)上去。

2，其次，沒有條件的話，自己在在wmware上裝個虛擬機部署上去也行。

一：環(huán)境部署完成的模樣。

二：利用上傳頭像處的漏洞來進行g(shù)etshell。

它這套源碼存在這個漏洞，我們是直接用這套源碼部署上去的，沒有做任何的措施就會存在這個漏洞，很多開發(fā)人員部署應用的時候，因為不清楚所以一般需要我們來做一個業(yè)務上線檢測。

使用burp進行抓包，把image/jpeg 改成image/php 即可getshell。測試該網(wǎng)站是否存在這個漏洞。修改數(shù)據(jù)包，把文件后綴名改為php，并且記住member_uid的值，這是用戶標識，文件上傳目錄中會對應。

上傳之后，訪問一下。因為我用的冰蝎的馬，所以我就用冰蝎來連接馬。連接成功之后，你就可以做很多你想做的事。例如，篡改網(wǎng)頁，文件上傳等。

三；上線frp，上線MSF。

把frp的客戶端上傳到你要拿下的服務器上去。然后對frpc.ini文件進行配置。（你的服務器是Linux版的就）

文件配置里面的這兩個端口，需要你的服務器開啟來，是騰訊就在站上開起來，阿里云就在阿里云上把你服務器的端口開?？蛻舳说奈募渲靡约胺斩说呐渲?。

服務端這邊先執(zhí)行文件，客戶端那邊執(zhí)行文件，成功上線就是會顯示你拿下的服務器IP了。

./frpc -c ./frpc.ini(客戶端執(zhí)行)
./frps -c ./frps.ini(服務端執(zhí)行)

成功上線frp之后，我們把聯(lián)動kali，在kali的代理改成服務器的IP加端口。

vim /etc/proxychains4.conf

?? 來試試，能不能打開遠程桌面，okok，那接下來就是上線msf了。

四；上線MSF。

先來白嫖一個免費的服務器，按步驟執(zhí)行就能上線MAF。??MSF實現(xiàn)遠程滲透_Spaceman-911的博客-CSDN博客_msf遠程外網(wǎng)滲透??

在冰蝎上執(zhí)行上傳的木馬，啟動MSF，執(zhí)行。上線成功了。

最后的話，就是你想怎么玩就怎么玩咯。

?獻上一下mim的使用。

Mimikatz使用
cls:        清屏
standard:   標準模塊,基本命令
crypto:     加密相關(guān)模塊
sekurlsa:   與證書相關(guān)的模塊
kerberos:   kerberos模塊
privilege:  提權(quán)相關(guān)模塊
process:    進程相關(guān)模塊
service:    服務相關(guān)模塊
lsadump:    LsaDump模塊
ts:         終端服務器模塊
event:      事件模塊
misc:       雜項模塊
token:      令牌模塊
vault:      令牌操作模塊
minesweepre:Mine Sweeper模塊
dpapi:      DPAPI模塊(通過API或RAW訪問)[數(shù)據(jù)保護應用程序編程接口]
busyloght:  BusyLight Module
sysenv:     系統(tǒng)環(huán)境值模塊
sid:        安全標識符模塊
iis:        IIS XML配置模塊
rpc:        mimikatz的RPC控制
sr98:       RDM(830AL)器件的射頻模塊
acr:        ACR模塊
version:    查看版本
exit:       推出
creds_msv:  獲取密碼hash值
creds_kerberos:    獲取密碼明文
使用creds_msv獲取密碼hash  和 creds_kerberos 獲取密碼明文

總結(jié)；

每一步都不是一次性成功的，都需要重新來好幾次，

也許命令錯了，

也許端口沒開，

也許先后順序錯了。

也許漏掉了細節(jié)。