今天继续打靶场，这个靶场不难，但是我花了一天的时间，感觉被作者骗了。

靶场地址：

LazySysAdmin: 1 ~ VulnHub

主机发现

arp-scan -l

发现靶机。

端口扫描：

nmap -sV -sC -T4  192.168.1.16  -p-
#每次都是用这一个命令

看到有80端口，去访问。

我今天一上午都在这个页面中度过了，我看到这个页面有mysql提示，而且他这个页面的两张图片名字很不正常。

这里就不细讲这个页面是如何折磨我的了。

使用dirb目录扫描

dirb http://192.168.1.16 -o lazy.txt   
#将扫描结果保存在lazy.txt中

扫出来很多信息，有phpmyadmin，还有wordpress（一个搭建博客的框架）主页面还有一个info.php,

之前打靶场有碰到过wordpress，kali有一个专门扫wordpress的工具wpscan,这里就简单扫一下。

wpscan --url http://192.168.1.16/wordpress --enumerate  u  
#扫描目标url并枚举目标注册用户名

枚举出两个用户，这里就简单爆破了一下phpmyadmin界面和wordpress后台界面，但是都没有结果。

后台界面url：http://192.168.1.16/wordpress/wp-login.php，然后就一直卡在这了，下午才发现还有个445端口，尝试访问一下。

然后就真能访问，我的天，要是我早知道，这个靶场就应该是过的最轻松的一个靶场了，share$能匿名访问，进去一看，里面别有洞天。

这里还是想要到wordpress后台，所以直接进入wordpress文件夹，找到他的配置文件找到登陆密码。

用户名就是我们刚刚枚举出来的Admin。

接下来想办法getshell，网上有几种方法都可以getshell。

第一种方法 上传插件getshell

在插件那里点击 add new 来到这个页面然后点击upload plugin就能直接上传php文件。

在本地写个一句话木马然后上传。

出现这个界面就是上传成功。

然后去 http://192.168.1.16/wordpress/wp-content/uploads/2022/04/shell.php这个链接访问一下。

这里注意目录是当天日期。

可以看到成功执行命令。

第二种方法，修改插件外观等页面代码插入一句话

可以看到右边的文件均可更改，这里以404.php为例，修改为phpinfo()，修改完成点击保存然后访问链接：http://192.168.1.16/wordpress/wp-content/themes//twentyfifteen/404.php。

代码成功执行。

这里可以直接写入反弹shell的代码，访问即可getshell，我这里使用蚁剑连接。

然后在这里找提权，啥也没找到，后来在根目录的deets.txt下发现线索。

其实这个在smb共享文件里面就有，但是没有注意，这里有passwd 12345，应该就是togie的密码，

连接ssh。

连接成功，在我使用find命令时，发现有rbash，rbash就是受限制的命令，在rbash下很多命令不能使用。

正好之前打靶场学过怎么绕过rbash，可以参考这篇文章了解rbash绕过，

RBash - 受限的Bash绕过 - 云+社区 - 腾讯云 (tencent.com)

这里使用vi绕过：

在命令行输入vi回车，然后shift+；进入底层交互，输入  set shell=/bin/bash  然后回车。

接着在进入底层交互 直接输入shell 然后回车。

他就会自己退出来。

这时候再使用   find / -perm -u=s -type f 2>/dev/null。

但是好像没啥能提权的，再看看 sudo提权有没有。

看着啥也没有，但是感觉这个界面看着很奇怪，我就直接试了试sudo 查看 /root 目录。

直接就成了？？？

不管了直接看看flag。

没有flag，只有一串加密字符，就先这样吧，这个靶场就打完了。

参考文章

VulnHub靶机学习——lazysysadmin | CN-SEC 中文网

(12条消息) 记一次菜鸡的低级折腾--WordPress get Webshell(后台文件编辑插马)_大千SS的博客-CSDN博客