【Vulnhub】LazySysAdmin

下载链接

https://download.vulnhub.com/lazysysadmin/Lazysysadmin.zip

运行环境

• Virtualbox
• Vnware Workstation player

目标

获得root权限和flag。

 

信息收集

主机发现

目标主机ip为 192.168.43.184

 

端口扫描

开放了22、80、139、445、3306、6667端口

InspIRCd，是一个UNIX系统和Windows系统的聊天服务器

Samba，是种用来让UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS（Server Message Block/Common Internet File System）网络协议做链接的自由软件。第三版不仅可访问及分享SMB的文件夹及打印机，本身还可以集成入Windows Server的网域，扮演为网域控制站（Domain Controller）以及加入Active Directory成员。简而言之，此软件在Windows与UNIX系列操作系统之间搭起一座桥梁，让两者的资源可互通有无。

 

目录爆破

重点关注WordPress和phpmyadmin

 

漏洞发现

info.php，发现phpinfo信息

 

wordpress界面一直显示my name is togie ，猜测togie可能是用户名

之后要用工具扫一下WordPress有没有漏洞，这里先放一下。

phpmyadmin没有密码，不存在注入，先不爆破了。

其他界面没有什么重要信息。

现在去看一下之前找到的SMB服务，用kali连一下，发现可以匿名登录

有一些敏感文件，逐个访问一下。当访问到wp-config.php文件的时候，发现了MySQL数据库的用户名密码

用这个用户名密码登录到phpmyadmin，但是发现什么都操作不了

访问到deets.txt的时候，发现了另一个密码：

和我们之前WordPress上的togie配对，登录一下phpmyadmin试试：

并不能登录上。想到目标机器开启了ssh,连一下试试：

发现可以成功连接上ssh，得到了togie用户权限，下面就要提权了。

结果发现直接sudo su直接就提权了...

 

这就结束了...还是意犹未尽的感觉，应该还有其他方法，我们再去之前搁置的WordPress看看。

 

之前扫到了WordPress的后台/wordpress/wp-admin，我用找到的两个用户名、密码尝试了一下，结果登陆进去了。

既然已经进入了控制面板，就可以有很多方式去写shell了，可以从主题模版的某些php文件中写，也可以看看插件中哪些可以利用。

这里我们向404.php页面模板插入PHP反弹shell的代码。

编辑好后，点击下面的upload file应用，然后在本地开启监听

访问一个不存在的页面，比如 http://192.168.43.184/wordpress/?p=2

发现成功反弹了shell

之后提权的方法和上面一样。