【Vulnhub】LazySysAdmin
下载链接
运行环境
-
Virtualbox
-
Vnware Workstation player
目标
获得root权限和flag。
信息收集
主机发现
目标主机ip为 192.168.43.184
端口扫描
开放了22、80、139、445、3306、6667端口
InspIRCd,是一个UNIX系统和Windows系统的聊天服务器
Samba,是种用来让UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS(Server Message Block/Common Internet File System)网络协议做链接的自由软件。第三版不仅可访问及分享SMB的文件夹及打印机,本身还可以集成入Windows Server的网域,扮演为网域控制站(Domain Controller)以及加入Active Directory成员。简而言之,此软件在Windows与UNIX系列操作系统之间搭起一座桥梁,让两者的资源可互通有无。
目录爆破
重点关注WordPress和phpmyadmin
漏洞发现
info.php,发现phpinfo信息
wordpress界面一直显示my name is togie ,猜测togie可能是用户名
之后要用工具扫一下WordPress有没有漏洞,这里先放一下。
phpmyadmin没有密码,不存在注入,先不爆破了。
其他界面没有什么重要信息。
现在去看一下之前找到的SMB服务,用kali连一下,发现可以匿名登录
有一些敏感文件,逐个访问一下。当访问到wp-config.php文件的时候,发现了MySQL数据库的用户名密码
用这个用户名密码登录到phpmyadmin,但是发现什么都操作不了
访问到deets.txt的时候,发现了另一个密码:
和我们之前WordPress上的togie配对,登录一下phpmyadmin试试:
并不能登录上。想到目标机器开启了ssh,连一下试试:
发现可以成功连接上ssh,得到了togie用户权限,下面就要提权了。
结果发现直接sudo su直接就提权了...
这就结束了...还是意犹未尽的感觉,应该还有其他方法,我们再去之前搁置的WordPress看看。
之前扫到了WordPress的后台/wordpress/wp-admin,我用找到的两个用户名、密码尝试了一下,结果登陆进去了。
既然已经进入了控制面板,就可以有很多方式去写shell了,可以从主题模版的某些php文件中写,也可以看看插件中哪些可以利用。
这里我们向404.php页面模板插入PHP反弹shell的代码。
编辑好后,点击下面的upload file应用,然后在本地开启监听
访问一个不存在的页面,比如 http://192.168.43.184/wordpress/?p=2
发现成功反弹了shell
之后提权的方法和上面一样。
永远相信 永远热爱
