靶机Lazysysadmin练习:samba服务连接发现共享文件用户信息、sudo命令提权、清除日志痕迹

攻击机IP地址

1.目标主机发现

netdiscover -i eth0 -r 192.168.109.0/24

扫描开放端口:masscan --rate=10000 -p 0-65535 192.168.109.162

确认端口开的服务:nmap -sV -T4 -O -p 445,22,3306,139,6667,80 192.168.109.162

2.端口利用

22号端口 ssh服务,可以采用ssh爆破

打开msfconsole,搜索ssh_login有关漏洞

使用ssh_login模块,查看相关参数

set:添加目标IP地址以及字典跟目录(user_file,pass_file)

爆破时间很久,没有什么结果,爆破失败


80端口:访问网站之后,没发现有用信息

查看一下web指纹信息

目录扫描

robosts.txt :禁止爬虫爬取的东西,一般重要的目录都会放在那下面

上面扫描出来的路径分别访问看看

   

  

又发现了admin.php疑似登录界面

使用用户名togie尝试登录,发现该用户名无效

用wpscan扫一下wordpress站点用户,存在用户Admin、admin

查看有哪些漏洞:删除之前命令后缀--enumerate u即可,

  无插件,无后门

未发现可利用信息,再看看之前扫描出来的目录phpadmin:数据库登陆后台

admin用户存在


再看看139、445端口的samba服务,有没有什么可利用信息

连接上,发现两个文件夹

共享文件夹连接成功,内容如下

查看一下这些文件目录的权限

从这些文件目录中查看可用信息,发现deets.txt、wp-config.php文件


思路一:利用第一个文件deets.txt

使用用户名为togie,密码为12345进行ssh连接,连接成功

查看权限

具有sudo权限,尝试切换root用户提权

        成功提权!

上传后门文件(一句话木马)

菜刀连接,获取webshell权限

查看日志文件,选择要查看和清除的日志

查看错误登录日志(btmp)

……

清空错误登录痕迹

查看身份认证的日志(auth.log)

清空

查看当前登录用户的详细信息(wtmp)

查看失败日志(faillog)

拓展:专门扫共享服务/共享路径

……

远程网络挂载路径:mount -t cifs -o username=' ',password=' ' //192.168.109.162/share$ /media

-t指定文件系统类型


思路二:利用文件wp-config.php中的用户名、密码分别尝试登录phpmyadmin和wordpress

看下一个wordpress

登录后,发现上传点,在404模板添加一句话马作为后门,单击

开启Apache服务

菜刀连接

连接成功,双击wordpress,跳出404

©️2020 CSDN 皮肤主题: 精致技术 设计师:CSDN官方博客 返回首页