实战红队：记一次从文件上传突破TQ到内网突破

关注我们❤️，添加星标🌟，一起学习交流安全知识！
作者：youunsafe@火线Zone
声明：仅供学习参考使用，请勿用作违法用途，否则后果自负

前言

参加某级单位组织的攻防演练，记录一次从难缠的ueditor上传到内网横向的实战

文件上传

目录扫描扫到的二级目录，确实这个目录很难扫到，并不是传统的ueditor的文件上传目录，看回显似乎可以上传

构造html

shell addr:

远程vps起服务

python3 -m http.server 15230

将aspx马另存为jpg，无需图片马，图片马解析报错，事实上服务器只是对response的类型做校验

上传成功

可以发现在第一次访问的时候可以访问，再次刷新404，文件上传成功了一直被杀掉，应该是被杀软杀掉了，接下来就是一系列尝试免杀绕过，乱七八糟的webshell免杀平台都尝试了都被杀软杀掉了。

这个项目还不错

https://github.com/cseroad/Webshell_Generate

上传尝试

成功解析，未被杀掉

连接webshell

查看是被谁家的杀软干掉了

奇安信天擎，干的漂亮。

权限维持

目标可出网，上线CS，进行提权，考虑到这个服务器上的天擎，进程确实是kill不掉的，所以这里上线cs也是需要提权的。

关于CS的免杀可以参考这篇文章

Win下CS免杀技术以及新思路 - 火线 Zone-安全攻防社区 (huoxian.cn)

时间有点儿久了，可以参考一部分tricks

winserver服务器直接土豆提权

提权成功抓取凭证

管理员密码NTLM可解密，解密后发现规律。

隧道搭建

使用FRP的最新版进行隧道，这里的试错成本也挺高的，因为按照平时比较简单的配置，一般使用FRP做穿透的时不选择tls加密，这里配置文件中选择流量走tls加密，其实后来测试了FRP老版本脱壳后也不杀

隧道ok后走socks直接代理到本地3389操作更方便。

远程桌面连接上就是该服务器的工控类的业务。

内网横向

利用抓取到的服务器的密码，密码非一致但有规律，以服务器IP地址结尾，测试了有连接状态的几台服务器，成功登录服务器B

桌面的123123.txt中存放的有密码记录，成功获取到服务器10+，同时对内网的8848端口扫描nacos，获取多个nacos添加用户，获取大量配置文件

配置文件中有其它跨段的业务，获取大量数据库。一个边界，三家二级单位，从业务网到办公网。

1. 火线Zone已经开启外部粉丝社区群，大家可在群内进行技术交流，但严禁发表与技术无关的和讨论政治相关内容

2. 火线安全同城安全群正式启动！我们将持续组织本地安全活动，激发行业技术交流的活力。真诚邀请您的加入，共同营造一座安全创新之城。

添加小助手，发送“同城群”加入同城安全专家群

·同城聚会 ·安全活动 ·结识大咖 · 技术交流

发送“社区群”可以加入火线Zone社区技术群

火线Zone是火线安全平台运营的安全社区，拥有超过20,000名可信白帽安全专家，内容涵盖渗透测试、红蓝对抗、漏洞分析、代码审计、漏洞复现等热门主题，旨在研究讨论实战攻防技术，助力社区安全专家技术成长，2年内已贡献1300+原创攻防内容，提交了100,000+原创安全漏洞。

欢迎具备分享和探索精神的你加入火线Zone社区，一起分享技术干货，共建一个有技术氛围的优质安全社区！