0x00.前言

　　下面利用Lazysysadmin靶机，利用kali以及windows的菜刀工具进行实战。

0x01.确定目标

　　由于不知道目标靶机的IP地址，这里查看了一下靶机的网卡设置，发现是NAT模式，启动kali后，使用netdiscover进行主机发现。

netdiscover -i eth0 -r 192.168.239.0/24

　　这里发现目标的IP地址为192.168.239.133

　　这里先使用masscan进行开放端口扫描。

masscan --rate=10000 -p0-65535 192.168.239.0/24

　　进一步使用nmap对开放的端口的服务进行识别

nmap -sV -T 4 -p22,80,139,445,3306,6667 192.168.239.133

　　对开放的端口相应的服务进行漏洞测试。

这里使用Hydra进行暴力破解。（由于自己没有准备用户名的字典，这里使用了一个已知的用户名togie来暴力破解密码）

hydra -l togie -P /usr/share/wordlists/metasploit/unix_passwords.txt -t 6 ssh://192.168.239.133

成功爆出togie的密码12345来。

使用此用户进行登陆，可以看到此用户拥有sudo权限

dirb http://192.168.239.133

发现的敏感目录有：

http://192.168.239.133/info.php，这里存在的是信息泄露，会暴露web站点的一些敏感信息，比如web站点路径信息。

扫描出来/phpmyadmin/目录，浏览器访问,可以看到是mysql的后台登录界面,尝试弱口令或者暴力破解

还有wordpress登陆页面（http://192.168.239.133/wordpress/wp-login.php此页面后面会用到）。

使用enum4linux枚举运行samba的主机信息

enum4linux 192.168.239.133

利用此工具，检测到目标（192.168.239.133）靶机存在共享目录，允许空口令。

对此目标进行远程挂载

mount -t cifs -o username='',password='' //192.168.239.133/share$ /mnt

挂载成功，可以看到目标的共享目录中泄露了web的站点文件，查看wordpress的配置文件，看到了wordpress的用户名和密码。

利用此用户名和密码即可登陆到wordpress站点中，利用wordpress的编辑器，对404页面添加一句话木马。