type
status
date
slug
summary
tags
category
icon
password
百度:CFS三层靶机
代理思路全解
环境:
t1: 1.1.1.1
t2: 1.1.1.2 1.1.2.1
t3: 1.1.2.2 1.1.3.1
t4: 1.1.3.2
ew
在t3做socks5代理,然后通过在t2作端口转发实现t1到t4的流量访问。
neo-regeorg
在t3的web站上传入tunnel.php,然后在t2通过neo-regeorg开启对应的socks代理
即可t1用t2代理,流量在t3通过后端代码的执行传入t4
frp(稳定)
第一层: t1上运行frp客户端,将frp服务端传入t2,修改配置获得第一层代理
第二层: t2上运行frp客户端,将frp服务端传入t3,修改配置获得第二层代理
跟neo-regeorg一样的
msf
通过autoroute设置俩层路由,分别是1.1.2.0/24和1.1.3.0/24
在t2的meterpreter上设置1.1.2.0/24。意义:非本机网段且通往2.0网段的ip要经过t2
在t3的meterpreter上设置1.1.3.0/24。意义:非本机网段通往3.0网段的ip要经过t3
此时,t1用msf模块对3网段的ip进行攻击,流量就会从t3逆向寻找可联通的网段,最后到t2可通。
ngrok
用任意工具在t2机器上启动socks代理,通过ngrok将代理端口映射到公网即可
proxychains4
注意:此命令不支持ping。所以使用它时nmap需要使用-Pn跳过主机存活探测
T1
getshell之前:goby,awvs,appscan自选,通过thinkphp框架漏洞利用工具
拿到webshell之后,需进行的信息收集
服务、端口、计划任务、ip、网段、防火墙状态
arp -aroute/etc/hosts
- 目标:提权
- 修改linux-exploit-suggester.sh名字为不易发现的,然后上传并执行,尝试这些提权办啊。
- sudo -l 或者 find / -perm -u=s -type f 2>/dev/null 或者 crontab -l
- uname -a查看内核版本,通过searchexploit工具进行搜寻尝试
- 目标:代理
在确定没有防火墙拦截的情况下,直接neo-regeorg梭哈(因为是正向)
- 内网存活探测:上传fscan 或者 proxychains4 nmap -Pn,如果工具过大无法上传,可以尝试dd命令切分上传,最后cat将他们组合。
或者使用shell脚本写循环ping命令探测(本机测试成功再上传)。
T2
重复t1的信息收集,没有防火墙再考虑正向
后台获取webshell:
重点关注上传(头像、文件、编辑器)、导出(文件、sql语句)、自定义模版(网站结构、默认页面更改),ssrf
搭建二层代理,内网存活探测同理
T3
打win7除了ms17010外,还有一个典型的ftp提权.
权限维持常用的方法就是计划任务和自启动(注册表自启动,组策略自启动).
cs权限维持: 进程注入,dll文件加载
- dll文件加载
explorer这个进程每隔一段时间就会自动加载,所以可以用它目录下的配置文件进行权限维持。我们可以使用Cobaltstrike生成对应系统位数的DLL文件放置目标系统C:\Windows\system32目录下,要注意重命名为linkinfo.dll