渗透测试实战-Vulnhub-Lazyadmin

Lazyadmin - 幕布

Lazyadmin

 

• 前期信收集
  • netdiscover(arp-scan -l)探测存活主机，发现目标IP
    • IP：192.168.1.16
      
  • nmap 扫描
    • 开放了较多的服务如HTTP SSH Mysql等
      
  • nikto 扫描
    • 有很多的信息，apache版本过时，允许GET HEAD POST 等请求，php的版本，robots.txt，好像一句话木马利用了POST请求
      
  • dirb 扫描
    • phpadmin，wordpress这些相关的目录
      
• 探索相关服务
  • 访问其网址
    • 
  • 查看robots.txt
    • 都是不允许的
      
    • 进行查看只能看到backnote里面有些代码，图片
  • 发现还有wordpress的博客
    • 
  • 有phpamdin界面
    • 发现进制空密码登录
      
  • wordpress admin登录界面
    • 
  • 当前思路
    • 先获取phpmyadmin的用户及密码，
    • 在数据库中查找有用信息
    • 如果找到了wordpress的用户名，密码，尝试登录，用wpscan扫描
    • 上传相关的phpshell，获取权限，再进一步探索
• 进一步了解
  • 前面忽略了一个重要的端口信息，6667 irc
    • 通过查询资料
      • IRC全名为Internet Relay Chat，是一款即时聊天工具，类似网络聊天室，但功能更强大
      • InspIRCd是一款现代化，快速的IRC服务器，也是少数几个IRC服务器应用程序之一，可提供高性能和稳定性，并以C ++编写。 它是在您的服务器上构建自己的IRC的最佳解决方案之一。 它支持两个加密库，OpenSSL和gnutls，并支持许多服务，如anope主题。 InspIRCd基于提供许多模块的模块化IRCd。 如果要在InspIRCd上启用模块，则只需编辑modules.conf文件，并为模块添加新行。
  • 还有一个445端口，经过了解
    • 445端口是一个毁誉参半的端口，有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机，但也正是因为有了它，黑客们才有了可乘之机，他们能通过该端口偷偷共享你的硬盘，甚至会在悄无声息中将你的硬盘格式化掉！ [1]  2017年10月，由于病毒“坏兔子”来袭，国家互联网应急中心等安全机构建议用户及时关闭计算机以及网络设备上的445和139端口
    • 说明可以通过某种方式访问共享文件夹
  • 安装irc还是比较繁琐，暂时搁置
  • 从SSH入手
    • 在msf中查找与ssh_login相关的工具
      • 
    • 选择auxiliary/scanner/ssh/ssh_login
      • 查看并设置相关参数，包括IP 用户名（在网址上看到了togie，猜想很有可能），字典
        
    • 运行后，成功的破解出来
      • 密码为12345
        
    • 试试看其他的登录界面能否成功，都不行
    • 直接登录SSH
      • 
    • 发现这个用户有root权限
      • 似乎这个靶机只需要获取root权限即可没有flag
        
• 换种方式获取权限
  • 从445端口samba服务器开始
  • samba
    • Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件，由服务器及客户端程序构成。SMB（Server Messages Block，信息服务块）是一种在局域网上共享文件和打印机的一种通信协议，它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议，客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置“NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源，还能与全世界的电脑分享资源。
  • 使用工具enum4linux
    • Enum4linux是一个用于枚举来自Windows和Samba系统的信息的工具。 它试图提供与以前从www.bindview.com可用的enum.exe类似的功能。 它是用Perl编写的，基本上是一个包装Samba工具smbclient，rpclient，net和nmblookup。
    • enum4linux 192.168.1.16
      • 发现共享目录允许空口令
        
      • 有个用户是LAZYSYSADMIN 密码可能是5位数
        
    • enum的使用比较重要，需要进一步了解
    • 使用不同的方式都可以连接到共享服务器，三种
      • https://blog.51cto.com/57388/1552978
      • 我直接在kali 文件中进行连接
        • 连接时可以不输入密码，也可以输入前面获得的用户名和密码，但是在后面尝试放入文件时被拒绝，修改文件的扩展名也不行，看来只有查看的权限
          
      • 查看文件
        • deet.txt
          • 这个密码之前已经找到
            
        • 查看wordpress的配置文件，看到密码
          • 
  • 登录phpmyadmin
    • 
  • 去登录wordpress
    • 
  • 上传webshell
    • 可能需要将文件名修改以便能正常上传，或者直接复制文件，但是这样不能执行这个文件起不到作用
      
  • 通过上传之前用过的一个webshell
    • 
  • 上传在Kali上找到的shell
    • 监听端口也能连接
      
  • 使用蚁剑和菜刀，连接shell
    • 更长远的进行连接，需要留下后门之类的，类似前面的那个webshell
    • 接着使用一句话木马，<?php @eval($_POST['12345']);?>
    • php文件放在了htm下，wordpress也可以
      

以上内容整理于 幕布