渗透测试实战1——lazysysadmin靶机入侵

一、实验环境

• 靶机：lazysysadmin
• 攻击机Kali：192.168.247.142

二、实验步骤

（一）主动信息收集

1、主机发现

nmap 192.168.247.0/24 -sn         //-sn：制作主机发现，不做端口扫描；扫描结果包含本机IP

2、端口扫描（建议多扫几遍，以提高结果的准确性）

3、扫描端口详细信息

经端口扫描发现，该主机的22、80、139、445、3306、6667端口开放，查看端口版本信息。

（二）端口探测

22端口，ssh服务

1、打开msfconsole

2、查找ssh服务模块并使用

3、查看项目内容

4、创建用户名字典和密码字典

5、设置目标主机、用户名字典和密码字典

6、查看设置结果

7、爆破，查看结果

8、使用爆破出来的结果远程登录，成功

9、登录三连问

10、查看本账户对敏感数据文件的权限（可以看出togie用户对敏感数据文件只有可读权限，用户root既可读又可写）

11、查看用户togie的权限以及可执行的命令，运行结果显示可执行所有命令

12、显示指定用户账户的组群成员身份，可以看到togie在sudo组中，故可以使用sudo

13、使用sudo为用户提权

14、留后门——上传一句话木马（可在不同目录下多留几个后门，或者将后缀名改为txt，这样比较隐蔽）

15、使用中国菜刀测试，将URL添加到Cknife中

文件管理

模拟终端

16、退出前清除痕迹

• 查看各种日志文件

• 查看最后登录时间（/var/log/lastlog）

•  /var/log/lastlog日志文件记录最近成功登录的事件和最后一次不成功的登录事件，由login生成。
• 在每次用户登录时被查询，该文件是二进制文件。需要使用lastlog命令查看，根据UID排序显示登录名、端口号和上次登录时间。
• 如果某用户从来没有登录过，则显示为’**Never logged in**’。该命令只能以root权限执行，简单地输入lastlog命令后就会看到记录。

        系统账户诸如bin、daemon、adm、uucp、mail等不应该登录，如果发现这些账户已经登录，说明系统可能已经被入侵了。若发现记录的时间不是用户上次登录的时间，则说明该用户的账户已经泄密了。

• 删除登录信息

• 查看auth.log文件，auth.log包含系统授权信息、用户登录和使用的权限机制等。

删除记录

• 查看btmp日志文件

        该日志文件可以用来查看用户的登录记录，last命令通过访问这个文件获得这些信息，并以反序从后向前显示用户的登录记录，last也能根据用户、终端tty或时间显示相应的记录。Btmp文件记录错误的登录尝试；登录的信息记录，被编码过，所以必须以last解析。

删除记录

• 查看wtmp日志文件

• 该日志文件永久记录每个用户登录、注销及系统的启动、停机等事件。
• 随着系统正常运行的事件的增加，该文件的大小也会越来越大，增加的速度取决于系统用户登录的次数。

删除记录

• 查看历史操作文件（./bash_history）

./bash_history文件保存了用户最近输入命令的记录

删除记录并退出远程登录

139、445共享服务端口

1、Smb枚举靶机的共享目录

   

此次扫描可以看到139、445共享端口的登录用户名和密码为空——username=’’,password=’’

2、利用共享端口挂载光盘

3、进入目录下查看对应内容

4、查看重要配置文件wp-config.php

可以看到数据库文件的登录用户名和密码

• Username：Admin
• Password：TogieMYSQL12345^^

5、查看deets.txt文件

打开后可以看见是一个关于某一账户的密码，账户待定

80端口

使用DIRB来爆破目标存在的目录

1、查询dirb相关的字典

2、dirb爆破

3、dirb扫描结果发现目标文章用的是wordpress，且还有phpmyadmin，robots.txt。探测漏洞利用点、查看robots.txt文件（robots.txt记录着禁止搜索引擎爬取的文件名）

发现4个目录，并且存在目录遍历漏洞，但是并没有获取到可以利用的信息。

4、查看/Backnode files/

探测phpmyadmin

1、网络访问

2、尝试登录，使用共享服务端口的配置文件中的用户名和密码登录

• 用户名：Admin
• 密码：TogieMYSQL12345^^

可以看到，该账户可以登录进去，但只能执行部分操作。

探测WordPress

1、网络访问

2、在wordpress首页中，出现很多' My name is togie '，猜测登录的用户名可能有togie。结合deets.txt文件，在deets.txt文件中得到的密码，可以猜测目标主机的用户名：togie，密码：12345。使用该用户名和密码尝试远程登录，登录成功。

探测wp-login.php

1、尝试使用phpMyAdmin中的密码登录后台wp-login.php，登录成功

• 用户名：Admin
• 密码：TogieMYSQL12345^^

2、向404.php页面模板插入一句话木马

3、输入错误口令打开404页面

4、把复制的路径添加到中国菜刀中，双击打开

http://192.168.247.139/wordpress/?p=1748t768970977598673904-3

文件管理

模拟终端

6667端口

以6667端口的unreal_ircd_3281_backdoor进行攻击

1、打开msf

2、搜索search unreal_ircd_3281_backdoor

3、使用模块，并执行show options

4、设置rhost并执行exploit，并未发现session值