专栏首页信安之路VulnHub 中 LazySysAdmin 题目详解

VulnHub 中 LazySysAdmin 题目详解

本文由红日安全成员 Mochazz 原创,有兴趣查看其他相关内容可以扫描文章末二维码

环境下载

文件名:Lazysysadmin.zip (Size: 479 MB)

Download:

https://drive.google.com/uc?id=0B_A-fCfoBmkLOXN5Y1ZmZnpDQTQ&export=download

Download (Mirror):

https://download.vulnhub.com/lazysysadmin/Lazysysadmin.zip

Download (Torrent):

https://download.vulnhub.com/lazysysadmin/Lazysysadmin.zip.torrent ( Magnet)

运行环境(二选一)

Virtualbox

Vnware Workstation player

通关提示

1、Enumeration is key

2、Try Harder

3、Look in front of you

4、Tweet @togiemcdogie if you need more hints

ip 探测

由于我们的目标与我们的物理机位于同一网段,所以我们要做的就是先获取目标机器的地址。在内网主机探测中,可以使用 netdiscover 来进行。

netdiscover -i wlo1

端口扫描

我们需要知道目标机器上运行了哪些服务,利用某些服务的漏洞或配置不当来进行攻击,所以我们先进行端口扫描。

使用 masscan 扫描

masscan 192.168.0.100 -p 1-10000 --rate=1000

使用 nmap 扫描

nmap -T4 -A -v 192.168.0.100 -p 0-10000

对比可发现 masscan 扫描端口的速度比 nmap 快很多,但是想要知道端口所运行服务的具体信息,就要用到 nmap 了。

根据扫描结果可知目标机开启了 22、80、139、445、3306、6667 这几个端口。

我们先从 web 入手。我们先使用 dirb 来爆破目标存在的目录(dirb 安装方法附在文章最后)

./dirb http://192.168.0.100 wordlists/common.txt -o /home/evilk0/Desktop/result.txt

用法:./dirb 目标url 用于爆破的目录 -o 输出文件

在工具扫描的同时,我们手工探测漏洞利用点。访问目标 web 服务,未发现什么,查看是否存在 robots.txt 发现 4 个目录,并且存在目录遍历漏洞,但是并没用获取到可以利用的信息。

http://192.168.0.100/robots.txt

使用 curl 获取目标 web 的 banner 信息,发现使用的中间件是 apache2.4.7,目标系统为 Ubuntu。

我们再来看看 dirb 扫描结果,发现目标文章用的是 wordpress,且还有 phpmyadmin

wpscan 扫描结果

enum4linux 192.168.0.100

windows 下获取共享资源

net use k: \\192.168.0.100\share$

linux 下获取共享资源

mount -t cifs -o username='',password='' //192.168.0.100/share$ /mnt

发现两个关键的文件 deets.txtwp-config.php

所以我们尝试用上面获取的 mysql 账号密码去登录 phpmyadmin,但是发现没一个表项可以查看。

不过不要紧,上面还有一个密码是 12345,而且之前我们登录 WordPress 页面的时候,页面显示 My name is togie., 所以我们可以用账号:togie 密码:12345 尝试登录 ssh,发现可以成功登录。

有了 root 权限,我们就有权限查看目标文件 /root/proof.txt,这样就算完成了整个游戏了。这里刚好 togie 有 root 权限,所以我直接用 sudo su 切换到 root 权限,但是如果 togie 没有 root 权限,那么我们就需要通过其他方式来提权了。

思路二

通过 账号:Admin 密码:TogieMYSQL12345^^ 登录 WordPress 控制面板,向 404.php 页面模板插入 PHP 反弹 shell 的代码。

编辑好后,点击下面的 upload file 应用,然后访问

http://192.168.0.100/wordpress/?p=2

出现 no tty present and no askpass program specified,刚好目标机有 python 环境,所以我们导入 Python 的 pty 模块。

python -c 'import pty; pty.spawn("/bin/sh")'

但是我们不知道 www-data 的密码,所以接下来就要进行提权,先来看一下目标机的详细信息

所以用 CVE-2017-1000112 提权即可,但是目标机上没有 gcc,这时候,我们可以本地搭建和目标机一样的环境,在本地编译好提权 exp 后,在目标机器上运行即可。

dirb 安装方法(kali 已自带)

参考链接:

VulnHub Walk-through – LazySysAdmin: 1

https://grokdesigns.com/vulnhub-walkthrough-lazysysadmin-1/

LazySysAdmin Vulnerable Machine Walk-through

https://uart.io/2017/12/lazysysadmin-1/

本文分享自微信公众号 - 信安之路(xazlsec),作者:Mochazz

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-02-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 安全对你来说意味着什么

    安全是我们这个行业的代言词,我们为安全而生。当你踏入这个网络安全领域的时候,你可能会思考一个问题:安全对与我和企业来说意味着什么?

    信安之路
  • 奇淫异巧之 PHP 后门

    早上看了一位小伙伴在公众号发的文章《php 后门隐藏技巧》,写的挺好,其中有一些姿势是我之前没见到过了,学到很很多。同时,这篇文章也引发了自己的一点点思考:“ ...

    信安之路
  • 初级代码审计之熊海 CMS 源码审计

    笔者为代码审计的小白,能看的懂 php 代码但是没有上手过,你要是和我一样的,那么我觉得这篇文章可以给你一个良好的开端。篇幅很长,所以也希望大家能够将源码下载下...

    信安之路
  • Golang单例模式

    单例模式,是一种常用的软件设计模式,在它的核心结构中只包含一个被称为单例的特殊类。通过单例模式可以保证系统中一个类只有一个实例且该实例易于外界访问,从而方便对实...

    李海彬
  • 【机器学习】机器学习和计算机视觉相关的数学

    MIT一牛人对数学在机器学习中的作用给的评述,写得很实际 机器学习和计算机视觉都是很多种数学的交汇场。看着不同的理论体系的交汇,对于一个researcher来说...

    陆勤_数据人网
  • 郁闷了,miniblink的electron接口必须使用多进程模式了

    最近miniblink的electron模式开发本来一切顺利,但昨天遇到一个大坑。

    龙泉寺扫地僧
  • Centos7下yum安装mongoDB数据库

    1、创建仓库文件vi /etc/yum.repos.d/mongodb-org-4.2.repo

    菲宇
  • Instagram的Explore智能推荐系统

    超过半数的 Instagram 用户每个月都会浏览 Instagram,寻找与他们兴趣相关的新照片、视频和故事。大规模实时推荐数十亿个选项中最相关的内容,会带来...

    石晓文
  • Python可视化工具plotly从数据库读取数据作图示例

    本人在学习使用Python数据可视化工具plotly的过程中,实际的需求是将数据库中的数据展示出来,经过尝试终于完成了第一步,把数据库某列数据取出来,然后再在本...

    八音弦
  • 什么是 VxLAN?

    VxLAN 全称是 Visual eXtensible Local Area Network(虚拟扩展本地局域网),从名字上就知道,这是一个 VLAN 的扩展协...

    CloudDeveloper

扫码关注云+社区

领取腾讯云代金券