【安鸾靶场】cmseasy&内网渗透 (500分)

文章目录

  • 题目
  • 一、渗透开始
    • 后台执行rce漏洞
    • 内网横向


题目

【安鸾靶场】cmseasy&内网渗透 (500分)_第1张图片

一、渗透开始

【安鸾靶场】cmseasy&内网渗透 (500分)_第2张图片
上burp后没有报漏洞:

【安鸾靶场】cmseasy&内网渗透 (500分)_第3张图片

/admin存在后台:
【安鸾靶场】cmseasy&内网渗透 (500分)_第4张图片
爆破一下:
admin
admin123
【安鸾靶场】cmseasy&内网渗透 (500分)_第5张图片

【安鸾靶场】cmseasy&内网渗透 (500分)_第6张图片

后台执行rce漏洞

POC:
1111111111";}

【安鸾靶场】cmseasy&内网渗透 (500分)_第7张图片
触发漏洞:
【安鸾靶场】cmseasy&内网渗透 (500分)_第8张图片

【安鸾靶场】cmseasy&内网渗透 (500分)_第9张图片
可以看到禁用了很多函数:但是没有禁用关键函数
【安鸾靶场】cmseasy&内网渗透 (500分)_第10张图片
pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,

先写一个代码执行的php:这里可能触发了内部的waf
【安鸾靶场】cmseasy&内网渗透 (500分)_第11张图片
写入shell:
【安鸾靶场】cmseasy&内网渗透 (500分)_第12张图片

注意这里不能直接连接,我们需要找到路径才行
【安鸾靶场】cmseasy&内网渗透 (500分)_第13张图片
扫一下目录:
【安鸾靶场】cmseasy&内网渗透 (500分)_第14张图片
找了半天在:http://106.15.50.112:8021/config/tag/category_27.php

【安鸾靶场】cmseasy&内网渗透 (500分)_第15张图片
拿到shell:
【安鸾靶场】cmseasy&内网渗透 (500分)_第16张图片

【安鸾靶场】cmseasy&内网渗透 (500分)_第17张图片
第一部分:flag{fc64319e5227aa1d

拿第二部分:
【安鸾靶场】cmseasy&内网渗透 (500分)_第18张图片
上传个fscan:

【安鸾靶场】cmseasy&内网渗透 (500分)_第19张图片

【安鸾靶场】cmseasy&内网渗透 (500分)_第20张图片
直接扫网段:
在这里插入图片描述

【安鸾靶场】cmseasy&内网渗透 (500分)_第21张图片
感觉不对劲有点多看网段是20段:重新运行一下:
应该是192.168.112.3这台
【安鸾靶场】cmseasy&内网渗透 (500分)_第22张图片
这个112.1应该是内网的靶场就不去动他了:直接看
这个应该是redis的未授权访问
【安鸾靶场】cmseasy&内网渗透 (500分)_第23张图片

内网横向

搭建frp内网穿透,简单来说将我们已经拿到权限这台Linux流量发送到公网的vps上,我们使用代理工具连接就能访问Linux的内网了。

frp工具地址:https://github.com/fatedier/frp
【安鸾靶场】cmseasy&内网渗透 (500分)_第24张图片
配置frps.ini

[common]
bind_addr = 0.0.0.0
bind_port = 7000
./frps -c frps.ini

在这里插入图片描述

[common]
server_addr = xx.xx.xx.xx #/PS
server_port = 7000 #与/PS服务器开放端口一致
[http_proxy]
type = tcp #类型
remote_port = 7777 #通过socks5连接到/PS服务器端口进行数据传输
plugin = socks5
【安鸾靶场】cmseasy&内网渗透 (500分)_第25张图片
在这里插入图片描述
【安鸾靶场】cmseasy&内网渗透 (500分)_第26张图片
这里已经可以访问内网了:
【安鸾靶场】cmseasy&内网渗透 (500分)_第27张图片
kali怎么连接:kali直接用代理
【安鸾靶场】cmseasy&内网渗透 (500分)_第28张图片

【安鸾靶场】cmseasy&内网渗透 (500分)_第29张图片
在kali中需要proxychains4加上命令才能使用代理:
使用msf的redis未授权:
proxychains4 msfconsole
这里使用命令执行模块:info命令执行成功
【安鸾靶场】cmseasy&内网渗透 (500分)_第30张图片
这里不能使用反弹shell方式,因为有可能192.168.112.3只有内网无外网环境:这里只能使用写入私钥方式
kali生成私钥
【安鸾靶场】cmseasy&内网渗透 (500分)_第31张图片

【安鸾靶场】cmseasy&内网渗透 (500分)_第32张图片
这里失败了

msf查看也是写入了但是连不起:
【安鸾靶场】cmseasy&内网渗透 (500分)_第33张图片
等后面靶场重置,总体思路是这样的但是有点小问题,这个redis拿shell其实挺麻烦的,之前打靶场时也遇到过写入任务计划但没成功,我重置多次后成功了,这个运行不太好,也可能是frp的配置有问题。

你可能感兴趣的:(靶场,靶场,安鸾,web安全,内网安全)