Vulnhub：LazySysAdmin 记录

VM地址在https://download.vulnhub.com/lazysysadmin/Lazysysadmin.zip

本文属于剧透，想练习者请慎读。

首先，下载完VM用virtualbox导入进来，启动，发现需要登录密码，vulnhub里也没给，所以只能用nmap扫一下了。

因为Kali的VM是129，嗯……简单推断一下目标VM应该就是128了。于是下一波nmap，看看有什么端口、服务之类的。

感觉没什么特别的，一般我都是先看看samba有没有什么特别的地儿，于是乎用enum4linux扫了一下：

发现有个share的disk，而且可以list，用smbclient连上看看有啥（smbclient和rpcclient有时候自己带上参数敲不好使，所以我用enum4linux里加了-v，把扫描过程中用过的指令也列了出来，所以smbclient的稍加改动就能用了）。

嗯，先把几个txt给get下来，有一个txt挺奇怪的：

还可以看到有wordpress的文件夹，想到貌似之前nmap有3306的端口，所以到wordpress\wp-admin\里找带config字眼的东西应该能搞到密码。最终把下下来的文件看了看，发现wp-config.php里有DB的密码：

但是在哪连DB咧？直接连3306端口也连不了，于是试一下浏览器里在url加

（这个用nikto或者dirb都能找出来）

用之前找到的密码，就这么进来了。只是select被禁用了……

不过后来发现insert可以用，于是查了查wordpress通过SQL添加管理员的方法：

改动改动用了一下，加了个demo的user进去，于是就进了wp的admin界面咯。

接下来感觉应该是能传上去webshell或者reverse shell就OK了，首先看了下media，嗯……php后缀的传不上去，改后缀什么的也试了试，还是传不上去，抓包改内容传也没传上去……

嗯……换个地儿瞅瞅，后来发现page里可以加script：

于是乎试了一下msfvenom生成个js的reverse shell试试：

然后把本地的apache2服务开开，结果……没反应……

无奈之下又上网找了找，发现往theme安装包里添加php文件可以一起安装到wordpress里，于是随便找了个theme的zip，从pentestmonkey.net找了个php的reverse shell，加到zip传进了wordpress，安装完之后找到wp-content/themes/[themeName]/[shellName].php就能接到shell了。

得到shell以后，先看一下

于是searchsploit一下：

只有41458.c不是64位的，gcc直接编译一个试试

在shell里加一句就能得到好点儿的shell了。接着cd到tmp文件夹，然后wget我本地编译好的那个文件：

……其实不用看了，我后来发现从我开始找exploit开始，我可能已经就错了，我找了不下3个吧，linux kernel的，查已安装软件发现了udev版本204，也找了一个exploit，后来惹急了用metasploit的local exploit suggester又试了个pkexec的……然而都不好使。

结果最后，关键在之前的deets.txt里……

直接，敲上密码：

…………那我再试试ssh：

ssh居然进去了，而且还能用sudo：

于是这个VM就结束了，很蓝瘦，说不出的滋味……

其实后来发现，要是早点想起来用deets里的东西，可能就不这么复杂了，看来以后得到什么重要信息，应该先用用试试。

这个VM里有个图，我感觉不错

关于nmap有个事儿：

之前在PWK的lab里用nmap时候，扫好多机器都是down，用-Pn（不论开机不开机都扫描）也是down，就因为lab防范了nmap的ARP相关功能（说实话我也不明白，只知道大概是局域网相关的吧），后来上网查了很多东西才知道需要加上--send-ip参数，如果你的nmap不好使了，可以试试。