LazysysAdmin靶机入侵笔记
1、环境搭建
下载地址:https://download.vulnhub.com/lazysysadmin/Lazysysadmin.zip
下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。这里连接到虚拟网卡1。
2、信息收集
-
主机发现
使用nmap进行主机探测(-sP参数也可):nmap -sn 192.168.110.1/24
(图片丢了········)
192.168.110.128,为靶机ip,也可以使用Kali中的arp-scan工具扫描:arp-scan 192.168.110.1/24
-
端口扫描
使用nmap扫描端口,并做服务识别和深度扫描(加-A参数):nmap -p- -A 192.168.110.128
开放了22、80、139、445、3306、6667端口
3、漏洞探测
-
samba服务探测
一般此类靶机开启了samba服务则很可能会泄露一些关键信息,且靶机介绍说这是一个懒惰的管理员
懒惰的管理员一般都会把密码等信息记录下来,方便管理各种系统。现实生活中也是有这种情况存在。
因此通过探测samba服务很可能能够获取到一些关键的系统密码。
使用enum4linux工具进行探测
enum4linux 192.168.110.128
发现samba服务可以空用户名空口令登录,还发现几个共享文件夹和一个用户togie
-
连接共享服务
使用文件管理器直接连接,在运行程序窗口输入:\192.168.110.128\share$
在share$发现一个初始密码:12345
在wordpress文件夹中发现配置文件we-config.php。找到了mysql数据库的账号密码。Admin/TogieMYSQL12345^^
-
web端目录扫描
扫描发现phpmyadmin页面和wordpress登录页面,访问wordpress目录发现一个用户名togie,和samab服务找到的一致。
使用togie/123456 和Admin/TogieMYSQL12345^^尝试登录phpmyadmin和wordpress
使用Admin登录phpmyadmin成功,但是无法查看表中内容
Admin用户成功登录wordpress后台,进入后台寻找突破口。
-
getshell 方法一
探测samab服务的时候以知目标有一个togie用户,尝试配合密码12345登录ssh服务。
成功登入,且可以直接sudo su切换root用户,一步到位 -
getshell方法二
登录wordpress后台管理界面后,在主题编辑随便找个可以访问的文件插入一句话木马,使用蚁剑连接方便上传文件
除了写一句话木马,还可以直接插入反弹shell脚本。写在404页面,触发404.攻击端监听
4、权限提升
-
使用python获得交互式shell
python -c 'import pty; pty.spawn("/bin/sh")'
-
sudo -l 和find提权失败,不知道www-data用户的密码
-
获取系统内核信息
-
提权方法1
利用togie账号和密码12345。在sudo su切换到root用户
-
提权方法2
根据内核信息,用CVE-2017-1000112提权即可,但是目标机上没有gcc,这种情况,可以本地搭建和目标机一样的环境,在本地编译好提权exp后,在目标机器上运行即可
ie账号和密码12345。在sudo su切换到root用户 -
提权方法2
根据内核信息,用CVE-2017-1000112提权即可,但是目标机上没有gcc,这种情况,可以本地搭建和目标机一样的环境,在本地编译好提权exp后,在目标机器上运行即可