VulnHub靶机学习——lazysysadmin

很长时间没有搞一搞Vulnhub上的靶机了，正好最近要做的事情不是很多，便又装了一个搞一下。

一，运行说明

       * 靶机难度：中级

        * 目       标：提权、获取flag

        * 运行环境：攻击机kali linux

                             靶机Lazysysadmin

                             均运行于Vmware中

        * 网络设置：均为Nat模式

二、渗透实战

      1、端口扫描&目录爆破

        老套路了，第一步还是先确定靶机IP地址，在kali里用nmap扫描一下。

             发现靶机地址192.168.50.138，看起来还开放了不少的端口，再仔细的扫描一下。

             靶机开放了不少端口，而且还开了ssh、web、smb等服务，这些对我们来说还是很有价值的。

             先用浏览器访问一下IP地址

             一个静态页面，没有什么有价值的地方。

             源代码里也没有用的信息。ok，接下来用dirbuster爆破目录。

             经过目录爆破之后发现得到的结果还是不少的，有WordPress，PHPmyadmin等。先访问一波看看。

            又是静态页面，写满了My name is togie。猜测这可能就是管理员，不过我们没有密码，还得继续找。看了一下源代码里也没有隐藏的，只能去其他目录里找了。

           打开PHPmyadmin，虽然有了一个猜测的用户名，但是没有密码也就无法登陆，而且一般来说在像这样的靶机中密码设置的都很复杂，爆破是不可取的。所以还是先找找看别的。

           爆破出的页面不想挨个都点完（还不是因为太懒了），暂时先放一边。刚才用Nmap扫描的时候发现靶机有开启的SMB服务，在kali中尝试连接一下。

          尝试进入share文件夹，提示需要用户名密码。试试使用匿名能不能进入。

           额。。。。竟然成功进入。翻翻里面的文件，打开deets.txt。

           password是12345？试试去。    2，root提权

           登陆PHPmyadmin失败。换一个试试，靶机不是有启用的ssh服务么。

          kali命令框中输入ssh [email protected]回车，输入密码12345，OK连接成功。

          反正都进来了，直接sudo su提权试试。

          提权成功，直接拿flag。

另一种方法获得Flag

          该站点使用了WordPress，所以我们还可以利用其它的方法来获得flag。

          前面用dirbuster爆破目录的时候发现了WordPress的登陆页面，所以我们可以尝试登陆WordPress修改页面反弹shell来拿flag。

          通过smb链接靶机共享文件，可以在wp-config.php中得到用户名和密码。

          登陆成功后在Apperrance—Editor中编辑404页面，写入PHP反弹shell脚本

          保存并退出，然后在kali命令行输入nc -lvnp 6666启动监听，浏览器访问该404页面http://192.168.50.138/wordpress/wp-content/themes//twentyfifteen/404.php

          shell反弹成功，出现no tty present and no askpass program specified，输入python -c ‘import pty; pty.spawn(“/bin/sh”)’即可。

          接下来就是提权拿flag了。

四，总结

         做过的靶机多了基本也就越来越熟悉其中的套路了，但也还是要继续练习。这个靶机发现有用到WordPress的时候想用wpscan打一波来着，结果姿势不对问了两个大佬也没搞懂，后来才发现要加/WordPress（192.168.50.138/wordpress）很是尴尬。。。。。还是要继续学习啊