運行環境
-
Virtualbox (二選一)
-
Vnware Workstation player
通關提示
-
Enumeration is key
-
Try Harder
-
Look in front of you
-
Tweet @togiemcdogie if you need more hints
ip探測
本次實驗攻擊機為kali
由於我們的目標與我們的物理機位於同一網段,所以我們要做的就是先獲取目標機器的地址。在內網主機探測中,可以使用netdiscover來進行。
同樣我們也可以用nmap神器來探測
綜上我們可以獲得本次的試驗機ip為 : 192.168.1.110
端口掃描
我們需要知道目標機器上運行了哪些服務,利用某些服務的漏洞或配置不當來進行攻擊,所以我們先進行端口掃描。
使用masscan掃描
masscan 192.168.0.110 -p 1-10000 --rate=1000
或者使用nmap掃描
nmap -T4 -A -v 192.168.1.110 -p 0-10000
對比可發現masscan掃描端口的速度比nmap快很多,但是想要知道端口所運行服務的具體信息,就要用到nmap了。
根據掃描結果可知目標機開啟了22、80、139、445、3306、6667這幾個端口。
我們先從web入手。我們先使用 dirb 或者 御劍 來爆破目標存在的目錄
御劍:
dirb:
掃出來很多有用的目錄,比如/phpmyadmin , /apache , /wp , /test , robots.txt 等
我們趁機做一波信息搜集,使用curl獲取目標web的banner信息,發現使用的中間件是apache2.4.7,目標系統為Ubuntu。
我們嘗試訪問 robots.txt ,看一下網站目錄
經過訪問,發現只有最后一個有價值
發現用處不大.....
經過御劍二級域名掃描
然后經過一波訪問,發現了wordpress登陸頁面,不過嘗試弱口令,萬能密碼均失敗
同樣phpmyadmin也是這樣,不過我們發現靶機是用wordpress+apache+php+mysql搭建的
,網上的利用方法很多,也可以用kali自帶的wordpress檢測工具
wpscan詳細用法:https://blog.csdn.net/feier7501/article/details/9750919
我這里用:
wpscan -u 192.168.1.114/wordpress/ -e u,v,p
默認用戶名正在使用,所以默認密碼也可能被使用。
唯一的博客帖子是togie
嘗試admin:admin, admin:togie, admin:mynameistogie, admin:password
發現都不行,我想現在是時候看看其他服務,看看那里是否有什么。
SMB可能有一些有趣的信息,我知道它正在運行Linux
所以我使用了enum4linux
enum4linux
描述:Windows平台上曾經出現過一個第三方的信息枚舉工具 enum.exe,其利用SMB協議枚舉Windows系統和SAMBA服務,以此來獲得目標系統大量的重要信息,其枚舉結果可能包含目標系統的用戶帳號、組帳號、共享目錄、密碼策略等機密重要信息。enum4linux作為其Linux平台的復刻作品,全面兼容了enum.exe的所有功能。對於安全防護不足的SMB/SAMBA服務,enum4linux可直接枚舉重要信息,甚至幫助我們發現潛在漏洞的存在。為充分利用其功能,使用者需要對NetBIOS和SMB協議有所了解。
enum4linux是Kali Linux自帶的一款信息收集工具。它可以收集Windows系統的大量信息,如用戶名列表、主機列表、共享列表、密碼策略信息、工作組和成員信息、主機信息、打印機信息等等。該工具主要是針對Windows NT/2000/XP/2003,在Windows 7/10系統,部分功能受限。總的來說,一個工具可以獲取這么多的信息,也算非常強大了。
發現了這一句:
開放windows的smb協議講解:https://blog.csdn.net/ZiXuanFY/article/details/52513512
我們可以用簡單的方法嘗試連接SMB服務器:
smbclient //192.168.1.114/share$
然后我們就需要找到數據庫賬號密碼
順利得到數據庫賬號密碼
思路二:
windows下獲取共享資源
net use k:\\192.168.1.110\share$
linux下獲取共享資源
mount -t cifs -o username=' ', password=' ' //192.168.1.110/share$ /mnt
我們查看/mnt
下面就需要找到數據庫賬號密碼:
所以我們嘗試用上面獲取的mysql賬號密碼去登錄phpmyadmin,但是發現沒一個表項可以查看。
不過不要緊,上面還有一個密碼是12345,而且之前我們登錄WordPress頁面的時候,頁面顯示My name is togie.,
所以我們可以用賬號:togie 密碼:12345嘗試登錄ssh,發現可以成功登錄。
由於我們知道密碼是12345,所以可以直接提權
有了root權限,我們就有權限查看目標文件/root/proof.txt
這樣就算完成了整個游戲了。這里剛好togie有root權限,所以我直接用sudo su切換到root權限,但是如果togie沒有root權限,那么我們就需要通過其他方式來提權了。
思路二:
通過賬號:Admin 密碼:TogieMYSQL12345^^登錄WordPress控制面板,向404.php頁面模板插入PHP反彈shell的代碼。
.....虛擬機突然蹦了,但是操作繼續(借用別人的圖):
出現no tty present and no askpass program specified,剛好目標機有python環境,所以我們導入Python的pty模塊。
python -c 'import pty; pty.spawn("/bin/sh")'
但是我們不知道www-data的密碼,所以接下來就要進行提權,先來看一下目標機的詳細信息
所以用CVE-2017-1000112提權即可,但是目標機上沒有gcc,這時候,我們可以本地搭建和目標機一樣的環境,在本地編譯好提權exp后,在目標機器上運行即可。
dirb安裝方法(kali已自帶)
參考鏈接:
VulnHub Walk-through – LazySysAdmin: 1
LazySysAdmin Vulnerable Machine Walk-through