Vulnhub:LazySysAdmin 记录

VM地址在https://download.vulnhub.com/lazysysadmin/Lazysysadmin.zip

本文属于剧透,想练习者请慎读。

首先,下载完VM用virtualbox导入进来,启动,发现需要登录密码,vulnhub里也没给,所以只能用nmap扫一下了。

因为Kali的VM是129,嗯……简单推断一下目标VM应该就是128了。于是下一波nmap,看看有什么端口、服务之类的。

感觉没什么特别的,一般我都是先看看samba有没有什么特别的地儿,于是乎用enum4linux扫了一下:

发现有个share的disk,而且可以list,用smbclient连上看看有啥(smbclient和rpcclient有时候自己带上参数敲不好使,所以我用enum4linux里加了-v,把扫描过程中用过的指令也列了出来,所以smbclient的稍加改动就能用了)。

嗯,先把几个txt给get下来,有一个txt挺奇怪的:

还可以看到有wordpress的文件夹,想到貌似之前nmap有3306的端口,所以到wordpress\wp-admin\里找带config字眼的东西应该能搞到密码。最终把下下来的文件看了看,发现wp-config.php里有DB的密码:

但是在哪连DB咧?直接连3306端口也连不了,于是试一下浏览器里在url加

(这个用nikto或者dirb都能找出来)

用之前找到的密码,就这么进来了。只是select被禁用了……

不过后来发现insert可以用,于是查了查wordpress通过SQL添加管理员的方法:

改动改动用了一下,加了个demo的user进去,于是就进了wp的admin界面咯。

接下来感觉应该是能传上去webshell或者reverse shell就OK了,首先看了下media,嗯……php后缀的传不上去,改后缀什么的也试了试,还是传不上去,抓包改内容传也没传上去……

嗯……换个地儿瞅瞅,后来发现page里可以加script:

于是乎试了一下msfvenom生成个js的reverse shell试试:

然后把本地的apache2服务开开,结果……没反应……

无奈之下又上网找了找,发现往theme安装包里添加php文件可以一起安装到wordpress里,于是随便找了个theme的zip,从pentestmonkey.net找了个php的reverse shell,加到zip传进了wordpress,安装完之后找到wp-content/themes/[themeName]/[shellName].php就能接到shell了。

得到shell以后,先看一下

于是searchsploit一下:

只有41458.c不是64位的,gcc直接编译一个试试

在shell里加一句就能得到好点儿的shell了。接着cd到tmp文件夹,然后wget我本地编译好的那个文件:

……其实不用看了,我后来发现从我开始找exploit开始,我可能已经就错了,我找了不下3个吧,linux kernel的,查已安装软件发现了udev版本204,也找了一个exploit,后来惹急了用metasploit的local exploit suggester又试了个pkexec的……然而都不好使。

结果最后,关键在之前的deets.txt里……

直接,敲上密码:

…………那我再试试ssh:

ssh居然进去了,而且还能用sudo:

于是这个VM就结束了,很蓝瘦,说不出的滋味……

其实后来发现,要是早点想起来用deets里的东西,可能就不这么复杂了,看来以后得到什么重要信息,应该先用用试试。

这个VM里有个图,我感觉不错

关于nmap有个事儿:

之前在PWK的lab里用nmap时候,扫好多机器都是down,用-Pn(不论开机不开机都扫描)也是down,就因为lab防范了nmap的ARP相关功能(说实话我也不明白,只知道大概是局域网相关的吧),后来上网查了很多东西才知道需要加上--send-ip参数,如果你的nmap不好使了,可以试试。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20171220G00T0E00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券