官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
很长时间没有搞一搞Vulnhub上的靶机了,正好最近要做的事情不是很多,便又装了一个搞一下。
一,运行说明
* 靶机难度:中级
* 目 标:提权、获取flag
* 运行环境:攻击机kali linux
靶机Lazysysadmin
均运行于Vmware中
* 网络设置:均为Nat模式
二、渗透实战
1、端口扫描&目录爆破
老套路了,第一步还是先确定靶机IP地址,在kali里用nmap扫描一下。
发现靶机地址192.168.50.138,看起来还开放了不少的端口,再仔细的扫描一下。
靶机开放了不少端口,而且还开了ssh、web、smb等服务,这些对我们来说还是很有价值的。
先用浏览器访问一下IP地址
一个静态页面,没有什么有价值的地方。
源代码里也没有用的信息。ok,接下来用dirbuster爆破目录。
经过目录爆破之后发现得到的结果还是不少的,有WordPress,PHPmyadmin等。先访问一波看看。
又是静态页面,写满了My name is togie。猜测这可能就是管理员,不过我们没有密码,还得继续找。看了一下源代码里也没有隐藏的,只能去其他目录里找了。
打开PHPmyadmin,虽然有了一个猜测的用户名,但是没有密码也就无法登陆,而且一般来说在像这样的靶机中密码设置的都很复杂,爆破是不可取的。所以还是先找找看别的。
爆破出的页面不想挨个都点完(还不是因为太懒了),暂时先放一边。刚才用Nmap扫描的时候发现靶机有开启的SMB服务,在kali中尝试连接一下。
尝试进入share文件夹,提示需要用户名密码。试试使用匿名能不能进入。
额。。。。竟然成功进入。翻翻里面的文件,打开deets.txt。
password是12345?试试去。
2,root提权
登陆PHPmyadmin失败。换一个试试,靶机不是有启用的ssh服务么。
kali命令框中输入ssh togie@192.168.50.138回车,输入密码12345,OK连接成功。
反正都进来了,直接sudo su提权试试。
提权成功,直接拿flag。
另一种方法获得Flag
该站点使用了WordPress,所以我们还可以利用其它的方法来获得flag。
前面用dirbuster爆破目录的时候发现了WordPress的登陆页面,所以我们可以尝试登陆WordPress修改页面反弹shell来拿flag。
通过smb链接靶机共享文件,可以在wp-config.php中得到用户名和密码。
登陆成功后在Apperrance—Editor中编辑404页面,写入PHP反弹shell脚本
保存并退出,然后在kali命令行输入nc -lvnp 6666启动监听,浏览器访问该404页面http://192.168.50.138/wordpress/wp-content/themes//twentyfifteen/404.php
shell反弹成功,出现no tty present and no askpass program specified,输入python -c 'import pty; pty.spawn("/bin/sh")'即可。
接下来就是提权拿flag了。
四,总结
做过的靶机多了基本也就越来越熟悉其中的套路了,但也还是要继续练习。这个靶机发现有用到WordPress的时候想用wpscan打一波来着,结果姿势不对问了两个大佬也没搞懂,后来才发现要加/WordPress(192.168.50.138/wordpress)很是尴尬。。。。。还是要继续学习啊
关注我们
Tide安全团队正式成立于2019年1月,是以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。
想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.net 或关注公众号:
- 0 文章数
- 0 关注者