第一层

WEB1

打开之后是一个CMS

扫描端口之后发现开放了3306数据库，和FTP这一类。还有一个23段的IP

扫描后台，发现一个前台登录，一个后台登录，一个news值

尝试注册之后登录

查了公开HDH的漏洞，几乎都没有公开，意外的发现文本编辑器似乎可以入手。根据源码确认，在net文件夹有对应的漏洞

准备一个图片马，本地构建POC，利用POC上传。

<form action="http://www.ackmoon.com/admin/net/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded"  method="POST">   <p>shell addr:<input type="text" name="source[]" /></p >   <inputtype="submit" value="Submit" />
</form>

链接上shell，开始进入第二层的信息收集。发现权限太低，有360，还需要提权。先提前代理出来。发现还有第二张网卡，扫一下段。

在配置文件中发现有一个数据库

DATA1

尝试链接

经过查询可以使用xp_cmdshell执行系统命令，先打开xp_cmdshell

尝试执行系统命令

使用MDAT进行上传cs上线，需要进程注入

Web2

可以看到有一个25的web，访问试试

发现是一个jwt实例，有说用JWT TOKEY进行破解的，先进行目录扫描，发现都是别人用的shell和phpinfo

确定又是一台windows，刚刚查了一下，都是有jwttool爆破，获得xcookie就可以。进行爆破，获得密码是Qweasdzxc5，发现admin啥都无

重新审查刚刚的配置文件，发现是phpstudy的，下载phpstudy发现，用的是phpmyadmin4.8.5，那么路径知道，尝试登录成功，phpmyadmin日常日志shell。

phpmyadmin尝试使用日志写入一句话，修改日志目录为php，写入一句话

链接蚁剑，上线cs。