CFS三层内网靶场渗透

三层内网靶场环境简介

三层内网靶场一共具有三个网段，分别为VMnet1(192.168.11.0/24)、VMnet2(192.168.22.0/24)、VMnet3(192.168.33.0/24)。靶场由三台服务器构成分别为Target1、Target2、Target3，其系统分别是centos、Ubuntu、Windows7。Target1搭载VMnet1和VMnet2网卡、Target2搭载VMnet2和VMnet3网卡、Target3仅搭载VMnet3网卡。

通过搭建三层内网靶场，来模拟生产环境中外网服务器、内网服务器以及内网办公环境间的关系。使用搭载了VMnet1网卡的kali模拟攻击者从外网信息收集，得到网站信息，利用网站漏洞夺取外网服务器权限，又将失陷的外网服务器作为跳板机，通过代理的方式访问到了内网服务器，然后通过内网服务器网站的漏洞，再一次夺取权限并建立二次代理以后，到达内网办公环境，最后利用主机所存在的漏洞，获得内网主机权限的渗透流程。

2.3 渗透过程

启动msf，搜索thinkphp利用框架

选择payload，查看需要的参数

配置参数并运行

进入shell查看

发现shell并不完整，没有命令提示符，并且通过ifconfig命令以及whomi可以得知此时获得目标权限用户为thinkphp框架默认www用户，且目标具有11网段和22网段两张网卡。

使用ls命令，成功发现flag，并成功获得。

鉴于shell不完整，考虑上传webshell的方式，使用蚁剑连接，使用图形化界面方便操作。

使用msf自带upload命令，上传webshell到根目录

访问浏览器，确认webshell是否可被访问

成功访问webshell，使用蚁剑连接

成功连接，上传代理隧道工具shotaway，搭建隧道代理并上传fscan，扫描22网段资产

上传成功，打开kali隧道代理工具stowaway服务端，监听5566端口，密码123456

赋予执行权限，运行shotaway客户端，观察服务端回显，运行fscan

发现客户端成功连接，在kali 6001端口开启socks代理

查看fscan运行结果

发现22网段存在设备2，ip地址为192.168.22.129，并且设备2，开启80端口，配置浏览器代理插件，使用浏览器访问查看

发现八哥CMS，先尝试进行目录扫描，搜集网站信息，编辑proxychains配置文件，在proxychains代理下运行dirb扫描网站目录

查看扫描结果

访问网站robots页面

发现意思存在管理后台页面，尝试访问

成功访问后，看到登陆页面首先尝试弱口令

在尝试几组常用弱口令失败以后，想到启动burp suite尝试爆破，首先设置burp suite代理

设置浏览器代理

成功抓到登录包

发现无法重放

发现无法爆破弱口令，遂使用sqlmap进行sql注入测试

发现存在SQL注入，并爆出数据库类型，于是尝试获得数据库名称

成功得到数据库名，再次尝试得到表名

成功得到表名，抓取表内列名称

抓取表内用户名和密码

使用获得的账号密码登录查看，获得flag

发现上传以及修改网页内容功能

修改tar目录下index.php文件内容，在文件中混入一句话木马

尝试访问

访问成功，设置socks5代理，然后使用蚁剑连接

上传fscan以及stowaway

赋予运行权限，运行stowaway客户端

Stowaway服务端有回显，成功连接，并搭建socks代理

运行fscan

查看fscan扫描结果

发现存在设备3，ip地址192.168.33.33，且设备开放了445端口且fscan扫描发现存在ms17-010永恒之蓝漏洞。

修改proxychains配置文件，开启msf搜索ms17-010

查看所需配置并设置

抓取客户机密码hash

根据解密网站解密可知密码为123456

结合先前扫描到，目标机开放3389端口远程桌面服务

成功获得远程桌面权限并获得flag。