获取目标机器的ssh反弹权限后,如何通过一台公网服务器的服务 jar 包进行偷梁换柱植入目录进行钓鱼,从而获取目标使用人的终端设备权限和个人信息?
网络攻防实战中获取目标机器的ssh反弹权限后,如何通过一台公网服务器的服务 jar 包进行偷梁换柱植入目录进行钓鱼,从而获取目标使用人的终端设备权限和个人信息?
具体流程如下:
1)获取了目标用户经常访问的一台服务器信息,并能反弹shell回来进行远程ssh链接;
2)分析服务器上的运行的服务,例如:通过 jar 包运行的相关web服务,本次以这个 jar 包切入为例;
3)通过对 jar 包进行分析植入钓鱼链接,模拟各种网路崩溃场景,促使使用该系统的人去点对应的植入链接、下载可执行文件木马,引导终端设备下载文件后并执行和运行木马;
4)运行木马之后,从而可以远程监控目标用户的终端设备,获取数据、锁定位置等等,从而完成了通过一台公网服务器成功搞定了终端设备的控制。
jar命令使用参数如下:
jar 虽然用起来简单,但是网上的打包方案出现各种各样的问题。
jar 启动出现异常和报错
springboot项目启动异常Correct the classpath of your application so that it contains a single, compatible version of javax.se