简记攻击Lazysysadmin

Lazysysadmin，一个比较有名的靶机了，今天准备来试一下

1.发现主机

    由于跟kali在同一网段，所以 nmap -sP 192.168.174.1/24

    发现主机192.168.174.144

 

2.端口扫描

    nmap -sS -A 192.168.174.144

    发现80、445端口

 

3.访问主页

    是个静态页面，没有什么交互的地方

    使用御剑进行目录扫描

    发现了phpmyadmin、info等有用信息，先访问robots.txt

    得到几个目录，访问之后没有得到有用的信息，访问info，也没有得到有用信息

    考虑到其开放了445端口，用enum4linux 192.168.174.144进行扫描

    发现了一个共享目录share$，访问

    ！发现了wordpress目录，进去看看

    发现wp-config.php，打开

    发现用户名和密码！

 

4.尝试登陆

    由于知道使用wordpress模板，其登陆界面的url为http://192.168.174.144/wordpress/wp-admin

    使用Admin和TogieMYSQL12345^^登陆，登陆成功！

 

5.上传shell

    利用wordpress的editor功能，将其404界面修改为上传shell的php

    在kali上监听1234端口

    访问http://192.168.174.144/wordpress/wp-content/themes/twentyfifteen/404.php

    成功获取shell，用python -c 'import pty; pty.spawn("/bin/bash")' 将其改为交互式界面

 

6.提权

    先进home看看有什么

    有一个togie的文件夹，里面为空

    考虑到之前share文件夹中的deets.txt的内容，我猜想togie用户的密码是12345

    于是su togie

    看看togie用户是否具有超级特权：sudo -l

    !!!!!Togie可以作为超级用户运行一切。

    sudo su

    提权成功！