环境靶机网络环境
上面图片标记的❌,是因为每个人的网段配置都不同,这个上面写的网段史错误的,具体需要配置完自己的网段后,才知道每个网卡所属网段。
王网卡一配置的是nat模式,网卡二配置的是主机模式的网卡。
vmnet1与vmnet2都是主机模式,只是不属于同一个网段。
配置靶机web服务环境。
首先配置靶机1的web服务。
登录靶机,先获取下靶机ip地址,上面的ip地址是nat服务的ip地址。
打开http://192.168.85.143:8888/a768f109/
登录宝塔网站管理界面,添加网站。
打开网站,发现是thinkphp框架,使用tpcms扫描工具试一下。
发现存在rce漏洞,直接上马。
可以一键getshell,但我就不用。
使用代码执行system(‘nc’)链接kali主机。
成功上线。
获取靶机1的内核结构,准备生成木马,上线msf。
使用靶机自带的wget指令下载下木马。
kali靶机中开启python的http服务。
使用wget指令下载后,发现马没有执行权限,修改权限,赋予执行权限。
msf开启监听,只待跑马。
nc连接中,执行马。
获取靶机1的路由信息。(122网段不存在,不知道为啥会有。。。。)
当前msf会话中不存在路由信息,添加靶机1中的145网段路由信息。
靶机2
配置靶机2的web服务,但由于靶机2使用的两个网卡均为主机模式,因此需要配置代理,使用msf会话中的路由信息。
配置msf中sock代理,下一步配置proxychain
运行代理。
登录靶机2查看ip地址,正常来将,我们可以使用nmap扫描获取存活主机,但现在没必要。
直接通过探测8888宝塔端口,来发现主机存活的信息,当然还是取巧了。。。。。。
还有,之所以使用-sT -Pn扫描,是由于icmp不可以使用,只好使用tcp探测。
这是通过使用nmap跑出来的结果。
登录靶机2中的宝塔管理,配置下网站服务。
网站配置完成,如果网站依旧打不开,可以尝试重启下ngnix服务器。
查看下网站路由信息。
查看源码的时候,发现下面直接提示了注入点。
正常情况下,可以查看下cms的版本以及所存在的对应的漏洞。
不过这个,直接在源码中给出来了。
直接放sqlmap中跑下。
存在三个数据库,但网站所属的应该是bagecms这个。
账号密码直接出来了,密码是经过加密的,但后面的括号中的其实就是明文密码。
下一步就是获取shell,登陆上去发现该cms存在RCE漏洞。
下面写🐎,就行了。
使用SocksCap工具当作代理工具,配置后代理后,上蚁剑。
下一步生成木马,上传。
此处的payload使用的是正向连接,因为靶机2上没有kali主机的网络路由信息,因此需要正向反弹shell。
获取靶机2的网络信息,在msf上继续添加网络路由。
靶机3
靶机3需要配置网络地址,因为靶机3中的ip地址是自定义的,因此需要修改为自动获取。
使用nmap扫描漏洞。
发现存在ms17漏洞。
直接使用msf中的漏洞,进行攻击靶机3。
.
三台靶机全部获取。
参考链接
nmap高级用法:https://blog.csdn.net/difination/article/details/122952521.
CFS三层靶机环境搭建:https://blubiu.github.io/2020/03/CFS%E4%B8%89%E5%B1%82%E9%9D%B6%E6%9C%BA%E7%8E%AF%E5%A2%83%E6%90%AD%E5%BB%BA/.
渗透测试之CFS三层靶机内网渗透:https://blog.csdn.net/LvHLong/article/details/123092182.