实战 | 记一次对邻居家的渗透测试

0x01 前言 最近一直在搞集群智慧云安服渗透测试相关的东西，于是一直手痒痒，本文的经历也是无意中发现了邻居其实是个站长，而且和我在同一个内网，于是思考他的电脑上会不会也开放了各种WEB服务，拿下他内网的机器后通过各种他的信息反查到他的博客，最后又拿下他外网的服务器，整个过程还是比较有趣的。 0x02 内网怎么会有这么多WEB服务？ 俗话说的好，没扫过自家内网的网安人不是好邻居。而我直到前几天才想起搬家后还没扫过自己的内网环境，属实是惭愧，于是直接拿起Fscan开扫，存活很多，但开了端口的机器倒是不多（192.168.1.3为本人机器） 突然间，这个192.168.88.5机器，引起了我的注意 哇，开了这么多WEB服务，甚至还有3306端口，到底是谁会在内网里开这么多服务呢，我一下就来了兴趣 说来惭愧，这些东西很多我都没有见过，查了一下这些服务基本没啥历史漏洞，上了一些弱口令字典爆破均无果，不过看了一下，这些东西似乎都是运维和开发人员常用的，难道说我的这个邻居还是个站长？这就更有意思了，不测白不测，先试试。既然WEB方向的突破口都被堵死了，我们还是看看远处的Mysql吧家人们。 小测了一波历史漏洞，没啥结果。直接试试弱口令梭哈，事实证明弱口令才是yyds 马上连上数据库，试试找找数据 不知道各位师傅的习惯，我连上数据库之后其实不是很喜欢直接写shell，我认为拿下数据库对于整个集群智慧云安服渗透测试而言是非常重要的一环，所谓进可攻退可守。进，可以用各种姿势getshell甚至直接执行命令；退，即使不能getshell，通过寻找各种信息，也通常可以拿下其它系统，或者是直接用于钓鱼。所以我喜欢先把重要的信息搜集全了。这里有个WP，那先看看WP用户信息。 再看看其它服务的用户信息，看来root_lcy是这位站长非常喜欢用的用户名，这里暂时没用 最后看一波数据库的账号密码信息，说不定能找到些端倪。 root@localhost的密码，和上面找到的root_lcy密码一样，都查不出来，推测这个就是这位邻居的常用密码了。既然找不到我们也没必要这么死磕，先看一波这个邻居的qq 看到这个信息，lcy，刚好就和他的常用账号root_lcy对应上了，猜测为其姓名的缩写，1124无疑就是他的生日了（比我大八岁还行），为了得到更多的信息，我们可以进一步查询一下 好家伙，这人果真是站长，whois反查把他的域名查出来了，这不就到我的拿手环节了吗，先看看他的网站是啥样的 简单的看了一波，这位站长很喜欢搭建WP模板的网站，这里我们也按下不表，一会再回来看看有没有什么收获。 0x03 绝对路径！我真的好讨厌你啊！为了你，我要…… 兜兜转转看了一圈，好像没发现什么特别好的点，不过有了站长的各种信息，我试着生成了常用字典跑了一下，结果还是毫无收获。唉，这集群智慧云安服渗透测试还真是和人生一样难搞 这种时候要打下他的内网主机也就剩下一条路了，直接安排上写shell。人生三大喜事——洞房花烛夜、金榜题名时、secure_auth为ON并且secure_file_priv为空（bushi （ro0t是为了坐住Mysql的权限，防止被站长踢掉而做的临时后门账户） OK，接下来找一个绝对路径就万事大吉了，这个绝对路径要上哪去找呢，刚才我们发现了一个dzzoffice的服务，我简单研究了一下这玩意，百度告诉我安装完这玩意必须要删掉./install/index.php的安装文件，我们猜测这位粗心的站长没有删掉这个文件 那就OK，我们试着看看能不能用它来找到一些敏感信息。发现这是一个linux系统，哇，平时办公啥的用的机器居然也是linux吗，这位邻居挺猛的啊 看了一下网上的一些教程，大家都喜欢把它安装在这个目录，这位站长如果是跟着百度上的教程来安装的，我猜应该也在这个目录下？ 结果就是我测了一伯个常用路径和这位站长可能采用的路径也没有找到这个路径在哪，不过/var/www/html路径也是存在的，只是对我们没啥用而已。 到这里我人都麻了，找到密码or找到路径两个条件达成一个都大概率杀进去了，然而两个一个都找不到。到这些心态有点小裂。开始思考一下前面的操作有没有什么遗漏的地方。突然想到fscan我扫的是192.168.1.1/16，对内网这么大量的目标扫1-65535端口，会不会对这个192.168.88.5的扫描有些遗漏的地方。还是得开启fscan针对192.168.88.5再专门扫描一次 哎呀这不PHP探针吗，绝对路径这不就来了吗。 进行一个马的写 嘿嘿，忙活了大半天，终于拿下了 还没完，对邻居自然是要报以最大的敬意，上个哥斯拉马先 0x04 枯燥的Linux后渗透 既然shell到手了，我们就可以放开手脚的干了。这里我没有急着进行一波操作，翻文件找东西是非常重要的。我们知道这些常见的WEB服务都会有一个配置文件用于连接数据库的，我立马就想到了WP的配置文件，为什么呢，因为我想到刚刚搜集数据库密码的时候，WP用户和root用户的密码是相同的，也就是我猜测的这位站长的常用密码。 结果定睛一看，WOC，强口令。难道说这位站长还有类似于密码托管服务之类的东西吗？不过我没找到，但是用这个密码和root_lcy、admin等账户确实可以登陆进非常多他的服务里 这些东西对于站长来说可能确实是方便快捷的管理工具，但是对于攻击者来说同样是方便快捷。了解完大致的情况后，我们直接开始攻击 （其实这里有个计划任务的功能，但我们这种娱乐性质的渗透用这玩意多少有点没意思了） 看看内核 看看权限，nobody，很低啊 再看看是不是再docker里。很好，不是，看来我们还可以愉快的当邻居（ 那就没什么好说的了，直接把神器linpeas.sh扔进去找找提权手法 神器不愧是神器，拿到result后直接查找CVE看看是什么结果 CVE-2021-22555可以用啊 这个提权洞不愧为神级提权洞，哪哪都能看到它 哥斯拉的SuperTerminal功能在这种时候就非常好用了，强烈推荐，简直神中神 root密码一如既往的解不出来，不过猜测也就是刚刚我们拿到的那个常用密码了，我直接试试写个密钥 我这边是windows系统，借助Xshell来生成，linux下的操作方法就不赘述了。Xshell操作方式如下 一路往下到这一步，你可以选择设置个加密的密码 保存为文件即可 后续怎么操作就不用多说了，总之其实这里用他之前那个默认的密码也可以连上来 0x05 说了一伯遍，不要老是用同一个密码！ OK，内网这部分算是打完了。不过还记得前文我们提到的，这位站长邻居还有自己的个人博客吗，我们接下来再看看他的博客是个什么情况吧 一眼WordPress，常用漏洞打一波，无果 老密码直接进来，不过感觉WordPress后台Getshell的诸多姿势都略麻烦了一点，我们看看还有没有什么别的getshell点。 IP扔hunter上，这不，惊喜就来了，phpmyadmin和绝对路径一个页面统统满足 不急，看一眼绝对路径先，毕竟刚刚吃过亏 乐死我了，真的全部服务都用一个密码，就算你用强口令也白搭啊 不过这次比较难受，这里给卡住了，不过我们还有别的姿势，试试全局日志Getshell 按正常的流程走一遍此处省略一万字，总之，我们成功的拿下了邻居的网站的shell，很舒服 上个哥斯拉shell。这个权限更是重量级，不过没关系，我有神器linpeas 看看内核漏洞吧，CVE-2021-4034！又是它！它太稳健了！ 不过disable_function似乎不是很友善捏 不要紧，哥斯拉嘛，懂得都懂，Bypass_disable_function赶紧利用起来，为了赶紧远离这该死的disablefunction，赶紧弹个shell回来先 OJBK，接下来顺理成章的打 接下来就是毫无悬念的一路打穿了，把我们在内网的那些操作复刻一遍即可。最后来个照片合影留念hhhhhh 0x06 结语 还是一次非常有趣的经历，或许可以将其称之为“一个数据库弱口令引发的血案”？总之技术含量其实不高，关键在打下一个目标之后的信息搜集上，绝大部分人都喜欢在所有系统都用一模一样的密码，这是很危险的（即使这个密码是强口令）。也说明了后渗透中密码以及密码规律发现的重要性，掌握了这两种东西，内外网都刷刷上分。 最后，我联系了邻居，他对我表示感谢，并在我的建议下修补了漏洞，并表示以后不再使用同一套密码了，哈哈哈。 文章来源： HACK学习呀 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END