简记攻击Lazysysadmin
Lazysysadmin,一个比较有名的靶机了,今天准备来试一下
1.发现主机
由于跟kali在同一网段,所以 nmap -sP 192.168.174.1/24
发现主机192.168.174.144
2.端口扫描
nmap -sS -A 192.168.174.144
发现80、445端口
3.访问主页
是个静态页面,没有什么交互的地方
使用御剑进行目录扫描
发现了phpmyadmin、info等有用信息,先访问robots.txt
得到几个目录,访问之后没有得到有用的信息,访问info,也没有得到有用信息
考虑到其开放了445端口,用enum4linux 192.168.174.144进行扫描
发现了一个共享目录share$,访问
!发现了wordpress目录,进去看看
发现wp-config.php,打开
发现用户名和密码!
4.尝试登陆
由于知道使用wordpress模板,其登陆界面的url为http://192.168.174.144/wordpress/wp-admin
使用Admin和TogieMYSQL12345^^登陆,登陆成功!
5.上传shell
利用wordpress的editor功能,将其404界面修改为上传shell的php
在kali上监听1234端口
访问http://192.168.174.144/wordpress/wp-content/themes/twentyfifteen/404.php
成功获取shell,用python -c 'import pty; pty.spawn("/bin/bash")' 将其改为交互式界面
6.提权
先进home看看有什么
有一个togie的文件夹,里面为空
考虑到之前share文件夹中的deets.txt的内容,我猜想togie用户的密码是12345
于是su togie
看看togie用户是否具有超级特权:sudo -l
!!!!!Togie可以作为超级用户运行一切。
sudo su
提权成功!