简记攻击Lazysysadmin

Lazysysadmin,一个比较有名的靶机了,今天准备来试一下

1.发现主机

    由于跟kali在同一网段,所以 nmap -sP 192.168.174.1/24

简记攻击Lazysysadmin_第1张图片

    发现主机192.168.174.144

 

2.端口扫描

    nmap -sS -A 192.168.174.144

简记攻击Lazysysadmin_第2张图片

    发现80、445端口

 

3.访问主页

简记攻击Lazysysadmin_第3张图片

    是个静态页面,没有什么交互的地方

    使用御剑进行目录扫描

简记攻击Lazysysadmin_第4张图片

    发现了phpmyadmin、info等有用信息,先访问robots.txt

简记攻击Lazysysadmin_第5张图片

    得到几个目录,访问之后没有得到有用的信息,访问info,也没有得到有用信息

    考虑到其开放了445端口,用enum4linux 192.168.174.144进行扫描

简记攻击Lazysysadmin_第6张图片

    发现了一个共享目录share$,访问

简记攻击Lazysysadmin_第7张图片

    !发现了wordpress目录,进去看看

简记攻击Lazysysadmin_第8张图片

    发现wp-config.php,打开

简记攻击Lazysysadmin_第9张图片

    发现用户名和密码!

 

4.尝试登陆

    由于知道使用wordpress模板,其登陆界面的url为http://192.168.174.144/wordpress/wp-admin

    使用Admin和TogieMYSQL12345^^登陆,登陆成功!

简记攻击Lazysysadmin_第10张图片

 

5.上传shell

    利用wordpress的editor功能,将其404界面修改为上传shell的php

简记攻击Lazysysadmin_第11张图片

    在kali上监听1234端口

简记攻击Lazysysadmin_第12张图片

    访问http://192.168.174.144/wordpress/wp-content/themes/twentyfifteen/404.php

简记攻击Lazysysadmin_第13张图片

    成功获取shell,用python -c 'import pty; pty.spawn("/bin/bash")' 将其改为交互式界面

 

6.提权

    先进home看看有什么

简记攻击Lazysysadmin_第14张图片

    有一个togie的文件夹,里面为空

    考虑到之前share文件夹中的deets.txt的内容,我猜想togie用户的密码是12345

简记攻击Lazysysadmin_第15张图片

    于是su togie

简记攻击Lazysysadmin_第16张图片

    看看togie用户是否具有超级特权:sudo -l

简记攻击Lazysysadmin_第17张图片

    !!!!!Togie可以作为超级用户运行一切。

    sudo su

    简记攻击Lazysysadmin_第18张图片提权成功!

你可能感兴趣的:(简记攻击Lazysysadmin)