Walkthrough
Download
VM 镜像文件。
Description
LazySysadmin - The story of a lonely and lazy sysadmin who cries himself to sleep
[Hints]
- Enumeration is key
- Tweet @togiemcdogie if you need more hints
提示了枚举。
Pen Testing
主机发现等步骤今后会适当省略,具体请参照 Vulnhub-Lampiao 靶机渗透_Majula-CSDN博客 进行,之后不再赘述。
Scanning
攻击机 IP:192.168.21.128
靶机 IP:192.168.21.130
Solution I
获取靶机端口服务等详细信息:
Port 22
ssh 可利用 msf 的辅助模块进行爆破,结果是否成功取决于你的字典。
自行设置上图四个参数,这里我爆破失败,决定再看看其他内容。
Port 80
80 端口访问是静态页面,robots.txt
的四个目录也浏览了一遍,但没有收获,索性用 dirb 扫下是否有其他敏感目录。
发现有 phpmyadmin 和 wordpress 等目录。
wordpress 提示用户名 togie :
这里其实有条捷径。
我们前面爆破失败的原因或许在于用户名,在得到用户名的情况下,尝试用 hydra 爆破一下密码:
爆破成功,ssh 连接 togie 。
可以看到 togie 是 sudo 组,我们可以利用这切换到 root 用户。
成功拿到 flag ,不过还有很多点可以利用,这可以说是非预期解。
下面假设我们爆破并未成功,继续收集信息。
phpmyadmin 可以尝试 admin 爆破密码,但这里我爆破失败了。
扫目录得到的 wp子目录中:
/wp-admin
访问为后台登录窗口。
确定用户名为 admin 。
对于 wp 站点的渗透,推荐看一下这篇文章:
WordPress站点的渗透过程_whatiwhere的博客-CSDN博客
先用 WPscan 扫一遍看是否有漏洞:
WPScan使用完整攻略:如何对Wordpress站点进行安全测试
wpscan --url http://192.168.21.130/wordpress/
均无收获。
也可以尝试 wp 爆破,利用 cwel 生成一个字典。
cwel 生成的字典是基于爬到的数据生成,也就意味着大小写和网站数据一致,有时需要利用 John the Ripper 将其变形。
利用 WPscan 爆破 wp 密码,但还是失败了。
wpscan --url http://192.168.21.130/wordpress/ -P ../Datum/Dicts/wp.txt -U admin
80 端口的信息收集到这,接下来看其他端口。
Exploitation
Port 139 445
对应服务 Samba ,踌躇了好一阵,结合 Hints 才找到确定思路。
提示 Enumeration is key
,找到了 Samba 枚举的文章:
使用Enum4linux和Smbclient枚举SMB-华盟网 (77169.net)
更详细的 Samba 介绍文章:
Linux如何搭建Samba文件共享服务 (baidu.com)
因 139 445 端口打开,SMB 处于正在运行的状态,我们利用 enum4linux 收集信息,-S 列出共享目录:
接下来使用 smbclient 连接 smb,与 ftp 类似,可以访问到服务器上 smb 资源(因为允许空会话,所以用户密码均可为空)。
重点关注 share$
目录,我们对其进行连接:
使用 get
下载对应文件,发现 deets.txt
有提示:
CBF Remembering all these passwords.
Remember to remove this file and update your password after we push out the server.
Password 12345
这就是利用枚举获得的 togie 密码,同爆破出来的一样,接下来同上连接 ssh 即可获得 flag 。
这里也可以用 mount
直接挂载共享文件夹,不用 get
一个个下,也可直接连接。
Solution II
再再假设如果没有给出密码。
承接上面我们已经连接到 smb ,可以去 wp 目录 get 下来一些敏感配置的文件。
下载下来后找到了数据库的账密:
登录 phpmyadmin 看是否有权限能写马。
毫无用处。
再尝试登录 wp 管理员。
用数据库密码成功了。
之后就很轻松了,在主题模板文件或者插件中添加一句话:
模板以 404.php 为例:
访问一个不存在的页面:
可以看到插入成功,404.php 也在同目录下,连接菜刀: