渗透测试靶机练习(一)之lazysysadmin

lzaysysadmin

情报搜集

  1. 主机发现,使用netdiscover
    渗透测试靶机练习(一)之lazysysadmin_第1张图片

  2. 主机扫描,使用nmap

渗透测试靶机练习(一)之lazysysadmin_第2张图片

  1. 使用dirbuster进行网站目录扫描

渗透测试靶机练习(一)之lazysysadmin_第3张图片
渗透测试靶机练习(一)之lazysysadmin_第4张图片

  • 可以看到扫描结果,有workpress和phpmyadmin
  1. 登录网站,查看robots.txt文件

渗透测试靶机练习(一)之lazysysadmin_第5张图片

  • 存在目录遍历漏洞,但是没有发现可用信息
  1. 可以尝试爆破一下phpmyadmin的登录口令和wpscan扫描一下

  2. 主机扫描中发现445端口共享文件

渗透测试靶机练习(一)之lazysysadmin_第6张图片

  • 发现三个共享的文件夹
  • Linux下挂载资源命令:mount -t cifs -o username=’’,password=’’ //192.168.0.100/share$ /mnt
  • Windows下瓜=挂载资源命令:net use k: \192.168.0.100\share$

渗透测试靶机练习(一)之lazysysadmin_第7张图片

  1. 查看wp-config.php,找到用户名和密码

渗透测试靶机练习(一)之lazysysadmin_第8张图片
8. 查看deets.txt,发现phpmyadmin的登录密码

渗透测试靶机练习(一)之lazysysadmin_第9张图片

  1. 登录WordPress后台,可以修改网页,加入webshell

渗透测试靶机练习(一)之lazysysadmin_第10张图片

10.根据查看的123456密码,使用ssh登录,用户名使用WordPress首页中提示的togie

  • 登录后使用sudo切换root用户,查看/root/proof.txt

渗透测试靶机练习(一)之lazysysadmin_第11张图片
11. 使用WordPress后台管理功能写入反弹webshell

渗透测试靶机练习(一)之lazysysadmin_第12张图片

  • 然后访问一个不存在的页面,注意理解这个不存在的页面,是让网站查找不到访问的页面
  • 写入后监听本地端口,然后访问:http://192.168.24.128/wordpress/?p=2可以看到返回了一个shell

渗透测试靶机练习(一)之lazysysadmin_第13张图片

  • 使用python -c 'import pty; pty.spawn("/bin/sh")'进入TTY,可以切换到togie用户,再切换到root用户

  • 也可以进行提权,使用CVE-2017-1000112进行提权,我多次尝试失败,换了其他exp也失败,以后有时间再试试。

你可能感兴趣的:(渗透测试)