网络拓扑:
![](https://img-blog.csdnimg.cn/img_convert/d86435eb274a1a1ab10f290c227eae7b.png)
虚拟网卡配置
![](https://img-blog.csdnimg.cn/img_convert/c1c9c2593cbd78d48896e7dcffdf94b0.png)
Target1配置:
![](https://img-blog.csdnimg.cn/img_convert/209cc0e78443e307dd4cf19925ee7f0c.png)
Target2配置:
![](https://img-blog.csdnimg.cn/img_convert/19617e622bba13666c855d070d66d2ff.png)
Target3配置:
![](https://img-blog.csdnimg.cn/img_convert/331238871c8ea1fb6ede9deb5ed512b7.png)
攻击机配置:
![](https://img-blog.csdnimg.cn/img_convert/f27402efa42354428115d648b32cdd5d.png)
这里加了两张网卡,一张为1段的一张为22段的,添加22段的网卡是为了访问到Target2靶机的宝塔,需要进去做配置,开启靶机先
【靶机的详情都写了宝塔的访问地址以及管理员账户密码,默认IP】
![](https://img-blog.csdnimg.cn/img_convert/2e72e5df300cf1ad6b073d5a29ec45f0.png)
修改为dhcp分出来的ip即可,同理Target2也是同样的操作
![](https://img-blog.csdnimg.cn/img_convert/5a735ce90b0d6708d33b864d7711d8cf.png)
修改完成之后刷新一下页面,直到80出现:
![](https://img-blog.csdnimg.cn/img_convert/8094f8c942229758a20e1f6816d5dd49.png)
然后就可以将kali的22段网卡删除掉了,至此环境搭建已经完成,渗透开始
首先进行主机存活扫描:
![](https://img-blog.csdnimg.cn/img_convert/16f541b8941599a03ad7460cffce79ea.png)
kali IP为192.168.1.129,即Target1靶机为192.168.1.128了,访问web发现是个thinkphp的默认界面
![](https://img-blog.csdnimg.cn/img_convert/aba33c1cf47894539d580e7d861febba.png)
直接使用漏洞利用工具
![](https://img-blog.csdnimg.cn/img_convert/0e383095ee819b792a10fe6e848c4294.png)
发现确实存在漏洞,直接尝试利用一手
![](https://img-blog.csdnimg.cn/img_convert/bbe5c4273ffbc437c2aad36e353d1d61.png)
使用蚁剑进行连接,然后msf生成shell,利用蚁剑上传到Target1,反弹shell到msf上:
![](https://img-blog.csdnimg.cn/img_convert/064410ecf9b1398f40a017791a6503a2.png)
首先先进行信息收集
![](https://img-blog.csdnimg.cn/img_convert/0ff4b560ef1008c118528d5c3a490039.png)
发现存在22网段,尝试添加路由,以及设置代理:
![](https://img-blog.csdnimg.cn/img_convert/b10b1a1bfe4e9f6a291878d7771bda1f.png)
使用msf里面自带的代理模块:
![](https://img-blog.csdnimg.cn/img_convert/198660f4aadd4f8e44fc3d237b1a7181.png)
默认是使用的socks5,修改好配置文件,然后测试网络是否可达22网段
![](https://img-blog.csdnimg.cn/img_convert/55010f16d750a9cf0104946c8a731c68.png)
发现Target2存在web,配置代理访问:
![](https://img-blog.csdnimg.cn/img_convert/130026af53247b6ba209ecf48a30fdf6.png)
在idnex.php处发现源码里面存在提示
![](https://img-blog.csdnimg.cn/img_convert/896b53b7dd611e4eba465e1b676c7b59.png)
直接利用sqlmap,需要配合代理进行使用:
![](https://img-blog.csdnimg.cn/img_convert/501e21c16e20dfd3607786ddd62171eb.png)
sqlmap自动进行了揭秘,尝试直接后台登陆,如果不清楚后台路由的,访问一下robots.txt文件
![](https://img-blog.csdnimg.cn/img_convert/916c2155fc13fe7d26ac602758153ec3.png)
发现后台登陆路径,尝试访问登陆
![](https://img-blog.csdnimg.cn/img_convert/0a69e39c3bdabc7c1d8697174b5092f0.png)
在后台模版处,site文件夹下的index.php文件
![](https://img-blog.csdnimg.cn/img_convert/eac3590aaa45feb004e8a40b630dd287.png)
修改完成之后,直接点击提交,然后就是使用SocksCap软件
![](https://img-blog.csdnimg.cn/img_convert/e83cbaafd5e156a9158d548f5519f13a.png)
添加蚁剑,这样流量就能到达22段了,这里发现使用msf模块的代理,然后主机使用代理软件,会存在问题,因为虚拟机的网络就是靠主机的虚拟网卡去提供的网络,所以无意义,也是测试的时候出现了问题,第一次的时候使用frp可以成功连接,为了实现的进行直接把shell文件上传到靶机
msf生成正向连接的shell:
![](https://img-blog.csdnimg.cn/img_convert/9fbf19bac2eddb877103031987abf5a3.png)
主机开启web,靶机wget进行下载
![](https://img-blog.csdnimg.cn/img_convert/52b687cbec4f23bcd3e9f81fc2126967.png)
进行监听,然后靶机执行elf文件即可获取shell
![](https://img-blog.csdnimg.cn/img_convert/e2dbeff383627d388994ea00a5c9527c.png)
还是老步骤,添加路由
![](https://img-blog.csdnimg.cn/img_convert/5620a44fbfa4d3812730a21d7d6872c5.png)
现在添加了33段的路由,可以通过22段靶机的session所建立的隧道通往33段,直接进行nmap扫描
![](https://img-blog.csdnimg.cn/img_convert/75c5497d76f5d42c1be9b582281f37a9.png)
调用变种ms17_010模块进行漏洞利用:
![](https://img-blog.csdnimg.cn/img_convert/023adf4deef1c17a4552761644212f09.png)
直接获取shell
"""
msf的代理不稳定,可以使用其他工具,比如frp等等,然后配置proxychines,利用proxychines打开msf,在msf里面手动添加路由,也是可以进行利用的
![](https://img-blog.csdnimg.cn/img_convert/95a421719c752e5e5795508da594fbf0.png)
33段的路由如果属于Target2的话就能成功
"""
参考文章:
https://blog.csdn.net/qq_61237064/article/details/125602997
https://www.freebuf.com/articles/system/334588.html