內網之一次成功的內網滲透
虛擬網絡卡配置
環境問題:
- 虛擬機器橋接獲取不到IP地址,通過還原預設設定,指定物理網絡卡解決
- 靶機1,內網網絡卡獲取不到IP地址,通過新增配置檔案解決。
開始滲透:
Kali:192.168.1.13
Centos7:192.168.1.16
192.168.22.11
掃埠
使用nmap 順便掃漏洞
nmap -sS -A 192.168.101.91 --script=vuln
比較慢,沒有截圖
訪問80
測試寶塔未授權訪問漏洞,不存在
檢視robots.txt發現flag1
百度搜索thinkphp v5 漏洞,發現遠端程式碼執行漏洞
https://www.cnblogs.com/backlion/p/10106676.html
http://192.168.1.16/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
利用命令執行,看到flag2:
寫入一句話木馬
在利用命令執行找寫入的木馬的時候,發現了第三個flag
重新換了一個payload寫入一句話木馬shy.php,之前那個寫入成功,但是找不到路徑
使用菜刀進行連線
資訊收集:
1,uname -a
Linux 3.10.0-1062.1.1.el7.x86_64 x86_64
核心版本:3
主修訂版本:10
0-1062:次要修訂版本
- 補丁版本
2,hostnamectl
Centos 7 x86
根據收集的資訊,利用msf生成相關的payload
利用菜刀將生成的木馬檔案上傳
菜刀給許可權並執行
Msf接收到shell
Pyhotn –c ‘import pty; pty.spawn(“/bin/bash”)’建立互動式shell
嘗試suid提權:
find / -user root –perm -4000 -print 2>/dev/null
檢視passwd shadow是否可寫
如何可寫,將 passwd 的 root 密碼 X 替換為我們自己的 hash,如替換為自己 linux 裡的 hash,可修改目標的 root 密碼
Shadow是否可讀,可讀就可爆破
Sudo 是否濫用,問題是我連www使用者的密碼都不知道,我是否可以修改自己的密碼,剛測試了不行
sudo 是讓普通使用者使用超級使用者的命令。其配置檔案為 /etc/sudoers,檔案定義可以執行 sudo 的賬戶、定義某個應用程式用 root 訪問、是否需要密碼驗證。
檢視可以執行哪些命令,即不需要知道 root 密碼時,需驗證自身普通許可權的密碼
sudo awk 'BEGIN {system("/bin/sh")}'
sudo man man
sudo curl file:///etc/shadow
https://gtfobins.github.io/
檢視計劃任務:也沒有
核心棧溢位提權
算了 不提權了 直接內網滲透
檢視IP存在22網段
新增路由
設定代理
測試代理是否設定成功,無法ping通(不在同一網段),卻能訪問,代理設定成功
利用nmap 掃描,發現內網22網段存活主機22.22
使用nmap 進行詳細的掃描
發現開啟了80埠,火狐瀏覽器配置代理
訪問80埠
原始碼中發現提示
開跑
proxychains sqlmap -u "192.168.22.22/index.php?r=vul&keyword=1" -p keyword
暴庫
爆表
爆欄位
爆密碼
Robots檔案發現後臺地址
登陸後臺發現flag
然後再後臺卡了很久,為什可利用的點太多了,檔案上傳,資料庫備份,資料庫命令執行,導致。。。耽誤了很長時間
後臺管理修改模版(這個地方卡了很久,新建,或者在其他檔案中修改都不行,得在index檔案中修改,然後讓它自動執行)
訪問利用phpinfo(),獲得網站根目錄
http://192.168.22.22/index.php?r=tag
物理機上配置代理,因為kali無法使用菜刀
使用代理工具
使用菜刀連線
使用菜刀虛擬終端,發現竟然還有個33網段
資訊收集ubuntu x86
利用msf生成後門檔案,因為這臺伺服器位於內網,不是邊界機,無法訪問到我們的攻擊機,因此不能使用reverse_tcp反向連結,只能使用bind_tcp,正向連線,bind_tcp會在伺服器上開啟一個埠,msf主動去連線這個埠。至於開啟什麼埠則是由攻擊機msf生成後門檔案的時候確定的。
生成
並菜刀上傳到22.22的機器
Msf配置監聽(注意:這裡的埠要與生成時候的埠一致)
菜刀上執行,msf獲取到shell
發現有個33網段
新增路由
掃描存活主機,用指定少幾個埠的方式,發現了內網存活主機33.33
單獨掃描33.33開放的埠
開啟了445埠,直接利用msf17_010
載入kiwi模組load kiwi
help kiwi檢視幫助
creds_all列舉所有的憑據
新建使用者
成功登陸