記一次對鄰居家的滲透測試

0x01 前言

最近一直在搞滲透測試相關的東西，于是一直手癢癢，本文的經歷也是無意中發現了鄰居其實是個站長，而且和我在同一個內網，于是思考他的電腦上會不會也開放了各種WEB服務，拿下他內網的機器后通過各種他的信息反查到他的博客，最后又拿下他外網的服務器，整個過程還是比較有趣的。

0x02 內網怎么會有這么多WEB服務？

俗話說的好，沒掃過自家內網的網安人不是好鄰居。而我直到前幾天才想起搬家后還沒掃過自己的內網環境，屬實是慚愧，于是直接拿起Fscan開掃，存活很多，但開了端口的機器倒是不多（192.168.1.3為本人機器）

突然間，這個192.168.88.5機器，引起了我的注意

哇，開了這么多WEB服務，甚至還有3306端口，到底是誰會在內網里開這么多服務呢，我一下就來了興趣

說來慚愧，這些東西很多我都沒有見過，查了一下這些服務基本沒啥歷史漏洞，上了一些弱口令字典爆破均無果，不過看了一下，這些東西似乎都是運維和開發人員常用的，難道說我的這個鄰居還是個站長？這就更有意思了，不測白不測，先試試。既然WEB方向的突破口都被堵死了，我們還是看看遠處的Mysql吧家人們。

小測了一波歷史漏洞，沒啥結果。直接試試弱口令梭哈，事實證明弱口令才是yyds

馬上連上數據庫，試試找找數據

不知道各位師傅的習慣，我連上數據庫之后其實不是很喜歡直接寫shell，我認為拿下數據庫對于整個滲透測試而言是非常重要的一環，所謂進可攻退可守。進，可以用各種姿勢getshell甚至直接執行命令；退，即使不能getshell，通過尋找各種信息，也通常可以拿下其它系統，或者是直接用于釣魚。所以我喜歡先把重要的信息搜集全了。這里有個WP，那先看看WP用戶信息。

再看看其它服務的用戶信息，看來root_lcy是這位站長非常喜歡用的用戶名，這里暫時沒用

最后看一波數據庫的賬號密碼信息，說不定能找到些端倪。

root@localhost的密碼，和上面找到的root_lcy密碼一樣，都查不出來，推測這個就是這位鄰居的常用密碼了。既然找不到我們也沒必要這么死磕，先看一波這個鄰居的qq

看到這個信息，lcy，剛好就和他的常用賬號root_lcy對應上了，猜測為其姓名的縮寫，1124無疑就是他的生日了（比我大八歲還行），為了得到更多的信息，我們可以進一步查詢一下

好家伙，這人果真是站長，whois反查把他的域名查出來了，這不就到我的拿手環節了嗎，先看看他的網站是啥樣的

簡單的看了一波，這位站長很喜歡搭建WP模板的網站，這里我們也按下不表，一會再回來看看有沒有什么收獲。

0x03 絕對路徑！我真的好討厭你啊！為了你，我要……

兜兜轉轉看了一圈，好像沒發現什么特別好的點，不過有了站長的各種信息，我試著生成了常用字典跑了一下，結果還是毫無收獲。唉，這滲透測試還真是和人生一樣難搞

這種時候要打下他的內網主機也就剩下一條路了，直接安排上寫shell。人生三大喜事——洞房花燭夜、金榜題名時、secure_auth為ON并且secure_file_priv為空（bushi

（ro0t是為了坐住Mysql的權限，防止被站長踢掉而做的臨時后門賬戶）

OK，接下來找一個絕對路徑就萬事大吉了，這個絕對路徑要上哪去找呢，剛才我們發現了一個dzzoffice的服務，我簡單研究了一下這玩意，百度告訴我安裝完這玩意必須要刪掉./install/index.php的安裝文件，我們猜測這位粗心的站長沒有刪掉這個文件

那就OK，我們試著看看能不能用它來找到一些敏感信息。發現這是一個linux系統，哇，平時辦公啥的用的機器居然也是linux嗎，這位鄰居挺猛的啊

看了一下網上的一些教程，大家都喜歡把它安裝在這個目錄，這位站長如果是跟著百度上的教程來安裝的，我猜應該也在這個目錄下？

結果就是我測了一伯個常用路徑和這位站長可能采用的路徑也沒有找到這個路徑在哪，不過/var/www/html路徑也是存在的，只是對我們沒啥用而已。

到這里我人都麻了，找到密碼or找到路徑兩個條件達成一個都大概率殺進去了，然而兩個一個都找不到。到這些心態有點小裂。開始思考一下前面的操作有沒有什么遺漏的地方。突然想到fscan我掃的是192.168.1.1/16，對內網這么大量的目標掃1-65535端口，會不會對這個192.168.88.5的掃描有些遺漏的地方。還是得開啟fscan針對192.168.88.5再專門掃描一次

哎呀這不PHP探針嗎，絕對路徑這不就來了嗎。

進行一個馬的寫

嘿嘿，忙活了大半天，終于拿下了

還沒完，對鄰居自然是要報以最大的敬意，上個哥斯拉馬先

0x04 枯燥的Linux后滲透

既然shell到手了，我們就可以放開手腳的干了。這里我沒有急著進行一波操作，翻文件找東西是非常重要的。我們知道這些常見的WEB服務都會有一個配置文件用于連接數據庫的，我立馬就想到了WP的配置文件，為什么呢，因為我想到剛剛搜集數據庫密碼的時候，WP用戶和root用戶的密碼是相同的，也就是我猜測的這位站長的常用密碼。

結果定睛一看，WOC，強口令。難道說這位站長還有類似于密碼托管服務之類的東西嗎？不過我沒找到，但是用這個密碼和root_lcy、admin等賬戶確實可以登陸進非常多他的服務里

這些東西對于站長來說可能確實是方便快捷的管理工具，但是對于攻擊者來說同樣是方便快捷。了解完大致的情況后，我們直接開始攻擊

（其實這里有個計劃任務的功能，但我們這種娛樂性質的滲透用這玩意多少有點沒意思了）

看看內核

看看權限，nobody，很低啊

再看看是不是再docker里。很好，不是，看來我們還可以愉快的當鄰居（

那就沒什么好說的了，直接把神器linpeas.sh扔進去找找提權手法

神器不愧是神器，拿到result后直接查找CVE看看是什么結果

CVE-2021-22555可以用啊

這個提權洞不愧為神級提權洞，哪哪都能看到它

哥斯拉的SuperTerminal功能在這種時候就非常好用了，強烈推薦，簡直神中神

root密碼一如既往的解不出來，不過猜測也就是剛剛我們拿到的那個常用密碼了，我直接試試寫個密鑰

我這邊是windows系統，借助Xshell來生成，linux下的操作方法就不贅述了。Xshell操作方式如下

一路往下到這一步，你可以選擇設置個加密的密碼

保存為文件即可

后續怎么操作就不用多說了，總之其實這里用他之前那個默認的密碼也可以連上來

0x05 說了一伯遍，不要老是用同一個密碼！

OK，內網這部分算是打完了。不過還記得前文我們提到的，這位站長鄰居還有自己的個人博客嗎，我們接下來再看看他的博客是個什么情況吧

一眼WordPress，常用漏洞打一波，無果

老密碼直接進來，不過感覺WordPress后臺Getshell的諸多姿勢都略麻煩了一點，我們看看還有沒有什么別的getshell點。

IP扔hunter上，這不，驚喜就來了，phpmyadmin和絕對路徑一個頁面統統滿足

不急，看一眼絕對路徑先，畢竟剛剛吃過虧

樂死我了，真的全部服務都用一個密碼，就算你用強口令也白搭啊

不過這次比較難受，這里給卡住了，不過我們還有別的姿勢，試試全局日志Getshell

按正常的流程走一遍此處省略一萬字，總之，我們成功的拿下了鄰居的網站的shell，很舒服

上個哥斯拉shell。這個權限更是重量級，不過沒關系，我有神器linpeas

看看內核漏洞吧，CVE-2021-4034！又是它！它太穩健了！

不過disable_function似乎不是很友善捏

不要緊，哥斯拉嘛，懂得都懂，Bypass_disable_function趕緊利用起來，為了趕緊遠離這該死的disablefunction，趕緊彈個shell回來先

OJBK，接下來順理成章的打

接下來就是毫無懸念的一路打穿了，把我們在內網的那些操作復刻一遍即可。最后來個照片合影留念hhhhhh

0x06 結語

還是一次非常有趣的經歷，或許可以將其稱之為“一個數據庫弱口令引發的血案”？總之技術含量其實不高，關鍵在打下一個目標之后的信息搜集上，絕大部分人都喜歡在所有系統都用一模一樣的密碼，這是很危險的（即使這個密碼是強口令）。也說明了后滲透中密碼以及密碼規律發現的重要性，掌握了這兩種東西，內外網都刷刷上分。

最后，我聯系了鄰居，他對我表示感謝，并在我的建議下修補了漏洞，并表示以后不再使用同一套密碼了，哈哈哈。