Lazysysadmin靶机环境搭建与渗透测试

LazySysAdmin

攻击环境

两台服务器均放在了VM中进行环境搭建，均采用了NET连接的方式，但是由于个人环境问题，所以导致了靶机无法正常连接至NET网络，手工配置IP，在开机界面按下e，将ro改成rw signie init=/bin/bash，ctrl+x进入命令行

在已知kali攻击机的ip为x.x.x.100的情况下，手工配置ip

ifconfig eth0 x.x.x.101 netmask 255.255.255.0 broadcast x.x.x.255
route add default gw x.x.x.1(同一网段可以不要)

渗透测试

IP扫描

arp-scan -l

查看当前局域网内IP，发现目标IP为192.168.238.129

端口扫描

我这里选择了masscan因为kali攻击机上的nmap莫名其妙出现了一些问题，所以选择masscan进行端口扫描

masscan 192.168.238.129 -p 0-65535 --rate=10000

发现开着445 6667 22 3306 80 139端口

端口分析

139和445用于Samba服务，一般攻击方向为**、未授权访问、远程代码执行

22很明显ssh弱口令尝试

6667为默认的IRC服务器端口，msf直接可以过

3306和80不赘述

渗透攻击

6667端口

6667端口为IRC服务器默认端口，直接msf尝试攻击

发现他开了6667端口，但是IRC服务好像并没有开启，铲车人撤退

smb枚举探测

139和445是高危端口，先将靶机的共享目录文件输出

enum4linux -S 192.168.238.129

发现其共享了几个文件夹同时存在空口令进入，直接挂载

mount -t cifs -o username=’ ‘,password=’ ’ //192.168.238.129/share$ /mnt

然后得到共享信息，发现共享信息为网站的根目录

很明显的发现存在wordpress，在配置文件中找到账号密码，十分的激动

但是这里出现了一个问题，就是我并没有找到phpstudy或者phpmyadmin的文件目录，陷入僵局，后来想到是不是它存在了一些文件并没有放入到share文件里，也就是说phpmyadmin它并没有分享，所以我用dirbuster进行了目录扫描，字典的话只选择了php，因为明显他只用了php

发现存在phpadmin页面，直接访问并登录

然后我天真的以为这件事情就完成了，但是我们没有任何执行或操作的权限，他这个Admin账号仅仅只是个普通的没有权限的账号

ssh端口弱口令

访问wordpress主页面，满满一页的我叫togie，我们不难猜测靶机的用户名为togie，同时借助share共享文件夹中的deets.txt文件中提供的password密码12345直接进行ssh挂连，然后sudo直接得到最高权限

WordPress挂马

我们都知道wordpress是存在管理员页面wp-admin，访问发现他自动保存了phpmyadmin的账户和密码，直接尝试登陆，发现账户密码一致，因为到了后台管理页面，可以自己设计一些页面，所以就比较方便挂马了

如何挂马和挂在哪不多赘述，因为管理员页面可以随意更改网页源码，可以直接将一些.php改成你的木马，无论是用一句话木马+weevely或者是直接反弹到本机的端口进行操作，相对而言方法较多