渗透测试靶机练习（一）之lazysysadmin

lzaysysadmin

情报搜集

1. 主机发现，使用netdiscover
   

2. 主机扫描，使用nmap

3. 使用dirbuster进行网站目录扫描

• 可以看到扫描结果，有workpress和phpmyadmin

4. 登录网站，查看robots.txt文件

• 存在目录遍历漏洞，但是没有发现可用信息

5. 可以尝试爆破一下phpmyadmin的登录口令和wpscan扫描一下

6. 主机扫描中发现445端口共享文件

• 发现三个共享的文件夹
• Linux下挂载资源命令：mount -t cifs -o username=’’,password=’’ //192.168.0.100/share$ /mnt
• Windows下瓜=挂载资源命令：net use k: \192.168.0.100\share$

7. 查看wp-config.php，找到用户名和密码

8. 查看deets.txt，发现phpmyadmin的登录密码

9. 登录WordPress后台，可以修改网页，加入webshell

10.根据查看的123456密码，使用ssh登录，用户名使用WordPress首页中提示的togie

• 登录后使用sudo切换root用户，查看/root/proof.txt

11. 使用WordPress后台管理功能写入反弹webshell

• 然后访问一个不存在的页面，注意理解这个不存在的页面，是让网站查找不到访问的页面
• 写入后监听本地端口，然后访问：http://192.168.24.128/wordpress/?p=2可以看到返回了一个shell

• 使用python -c 'import pty; pty.spawn("/bin/sh")'进入TTY，可以切换到togie用户，再切换到root用户

• 也可以进行提权,使用CVE-2017-1000112进行提权，我多次尝试失败，换了其他exp也失败，以后有时间再试试。