vulnhub——lazysysadmin

攻击机:kali linux

靶机:lazysysadmin(vulnhub下载)

网卡均配置为NAT模式,使用vmware打开

vulnhub——lazysysadmin_第1张图片

目录

壹 信息收集

one 获取目标IP地址

two 80端口

three samba服务

贰 渗透测试

one 网络远程挂载

two 查看文件

three ssh连接并提权

four wp-admin


壹 信息收集

one 获取目标IP地址

先查看kali的IP地址

vulnhub——lazysysadmin_第2张图片

kali与目标靶机在同一C段,使用nmap扫描C段进行主机发现

vulnhub——lazysysadmin_第3张图片

使用nmap扫描靶机端口开放情况

vulnhub——lazysysadmin_第4张图片

two 80端口

有很多端口,先从80开始看,浏览网页信息,顺便查看组件

vulnhub——lazysysadmin_第5张图片

网站主页没有什么内容,利用dirb扫描目录获取更多信息

vulnhub——lazysysadmin_第6张图片

接下来一个一个看就好了

/phpmyadmin

phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。

vulnhub——lazysysadmin_第7张图片

 使用默认用户名和口令root:root登陆失败,因为没有密码,先暂时放下

/robots.txt

爬虫文件,规定了哪些内容允许网络爬虫爬取,哪些不允许

vulnhub——lazysysadmin_第8张图片

发现一张图片的名字很奇怪,但没有其他信息了

/wordpress

WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。

vulnhub——lazysysadmin_第9张图片

可以看到这个togie很秀,猜测可能是用户名,甚至用户名和密码都是这个,先用小本本记下来

有wordpress的话我们可以使用wpscan进行一个扫描

WPScan是专门检查WordPress网站漏洞的工具,它可以全面检查wp网站的漏洞,例如插件,主题,备份文件等

可以先试用指令更新一下wpscan

wpscan --update

vulnhub——lazysysadmin_第10张图片

使用也非常简单

wpscan --url http://192.168.74.133/wordpress

列出了很多目录,包括后台登陆口、wordpress版本信息等等

使用指令利用用户名枚举漏洞爆破用户名

wpscan --url http://192.168.74.133/wordpress --enumerate u

发现两个可以登录的用户名

vulnhub——lazysysadmin_第11张图片

暂时就先这样,继续往下

/wordpress/wp-admin

是wordpress的后台登陆口,可以尝试Admin/admin弱口令登录

vulnhub——lazysysadmin_第12张图片

其他的也没有在发现什么了

three samba服务

看一下139和445端口运行的samba服务

可以使用enum4linux工具枚举Windows和samba中的数据

 enum4linux 192.168.74.133

 可以找到共享路径

并且发现共享登录用户名和密码为空

贰 渗透测试

one 网络远程挂载

因为共享服务登录用户名和密码为空,且知道共享位置,我们可以使用网络远程挂载

mount -t cifs -o username=' ',password=' ' //192.168.74.133/share$ /media

使用kali的root用户执行命令

 进入挂载点查看

two 查看文件

在deets.txt中发现密码12345

vulnhub——lazysysadmin_第13张图片

在wordpress中的配置文件wp-config.php中发现用户名和密码

vulnhub——lazysysadmin_第14张图片

three ssh连接并提权

用已获取的信息尝试进行ssh登录

vulnhub——lazysysadmin_第15张图片

结果成功使用togie:12345成功登录

查看当前权限,并且发现cd受到了限制

vulnhub——lazysysadmin_第16张图片

查看用户

vulnhub——lazysysadmin_第17张图片

查看当前用户权限

可以看到togie的权限为all

four wp-admin

因为之前已经知道wordpress有一个用户名为Admin,所以使用Admin:TogieMYSQL12345^^登录wordpress,成功

vulnhub——lazysysadmin_第18张图片

修改404页面,添加php反弹shell

vulnhub——lazysysadmin_第19张图片

复制kali中的php-reverse-shell.php(文件位于 /usr/share/webshells/php)中的内容,修改其中的IP和端口

然后,点击update更新代码

vulnhub——lazysysadmin_第20张图片

在kali中开启监听

在web中访问随意一个没有的连接,就会报404执行命令

vulnhub——lazysysadmin_第21张图片

 回到kali看到监听成功

vulnhub——lazysysadmin_第22张图片

先获取一个交互式shell

可以直接切换到togie用户

vulnhub——lazysysadmin_第23张图片

然后在到sudo su root切换到root用户,然后查看flag

vulnhub——lazysysadmin_第24张图片

你可能感兴趣的:(getFlag,linux,安全,网络安全,web安全)