freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

lazysysadmin 靶场
hututu 2022-04-01 23:06:49 157609
所属地 北京

今天继续打靶场,这个靶场不难,但是我花了一天的时间,感觉被作者骗了。

靶场地址:

LazySysAdmin: 1 ~ VulnHub

主机发现

arp-scan -l

1648821765_62470605601b745ac615d.png!small?1648821766187

发现靶机。

端口扫描:

nmap -sV -sC -T4  192.168.1.16  -p-
#每次都是用这一个命令

1648821731_624705e32f7e77a5f69f1.png!small

看到有80端口,去访问。

1648821847_624706576c324ca9f9e3d.png!small?1648821848223

我今天一上午都在这个页面中度过了,我看到这个页面有mysql提示,而且他这个页面的两张图片名字很不正常。

1648821942_624706b6af326516c8dbc.png!small?1648821943900

这里就不细讲这个页面是如何折磨我的了。

使用dirb目录扫描

dirb http://192.168.1.16 -o lazy.txt   
#将扫描结果保存在lazy.txt中

1648822138_6247077a77623e90e2417.png!small?1648822139283

扫出来很多信息,有phpmyadmin,还有wordpress(一个搭建博客的框架)主页面还有一个info.php,

1648822496_624708e0f3a1758bc0661.png!small?1648822497859

1648822519_624708f7217932f113854.png!small?1648822519934

1648822550_62470916c0426c099ab02.png!small?1648822551599

之前打靶场有碰到过wordpress,kali有一个专门扫wordpress的工具wpscan,这里就简单扫一下。

wpscan --url http://192.168.1.16/wordpress --enumerate  u  
#扫描目标url并枚举目标注册用户名

1648822434_624708a24d553f9fd0e33.png!small?1648822435221

枚举出两个用户,这里就简单爆破了一下phpmyadmin界面和wordpress后台界面,但是都没有结果。

后台界面url:http://192.168.1.16/wordpress/wp-login.php,然后就一直卡在这了,下午才发现还有个445端口,尝试访问一下。

1648822758_624709e6dc011a89b4f43.png!small?1648822759740

然后就真能访问,我的天,要是我早知道,这个靶场就应该是过的最轻松的一个靶场了,share$能匿名访问,进去一看,里面别有洞天。

1648822867_62470a5365d19b864f2f3.png!small?1648822868290

这里还是想要到wordpress后台,所以直接进入wordpress文件夹,找到他的配置文件找到登陆密码。

1648822954_62470aaa93c3e9b18dd96.png!small?1648822955387

1648822972_62470abc3896ec0c019dd.png!small?1648822973063

用户名就是我们刚刚枚举出来的Admin。

1648823035_62470afb803c54f3573df.png!small?1648823036368

接下来想办法getshell,网上有几种方法都可以getshell。

第一种方法 上传插件getshell

在插件那里点击 add new 来到这个页面然后点击upload plugin就能直接上传php文件。

1648823211_62470bab7683febe0e717.png!small?1648823212347

在本地写个一句话木马然后上传。

1648823302_62470c0676ecee44d58a0.png!small?1648823303232

出现这个界面就是上传成功。

1648823354_62470c3aded77c32b55cd.png!small?1648823355852

然后去 http://192.168.1.16/wordpress/wp-content/uploads/2022/04/shell.php这个链接访问一下。

这里注意目录是当天日期。

1648823613_62470d3de957260d7f112.png!small?1648823614810

可以看到成功执行命令。

第二种方法,修改插件外观等页面代码插入一句话

1648823876_62470e442487ad07efe4f.png!small?1648823877031

1648823943_62470e87b480b18b2efa5.png!small?1648823944575

可以看到右边的文件均可更改,这里以404.php为例,修改为phpinfo(),修改完成点击保存然后访问链接:http://192.168.1.16/wordpress/wp-content/themes//twentyfifteen/404.php。

1648824028_62470edcec23c9ebe60bb.png!small?1648824029759

代码成功执行。

这里可以直接写入反弹shell的代码,访问即可getshell,我这里使用蚁剑连接。

1648824158_62470f5e6ecbbec97b27a.png!small?1648824159259

然后在这里找提权,啥也没找到,后来在根目录的deets.txt下发现线索。

1648824276_62470fd4366d6302d597e.png!small?1648824276967

其实这个在smb共享文件里面就有,但是没有注意,这里有passwd 12345,应该就是togie的密码,

连接ssh。

1648824522_624710cae6180bc6ef823.png!small?1648824523736

连接成功,在我使用find命令时,发现有rbash,rbash就是受限制的命令,在rbash下很多命令不能使用。

1648824487_624710a75a3642671b6ec.png!small?1648824488121

正好之前打靶场学过怎么绕过rbash,可以参考这篇文章了解rbash绕过,

RBash - 受限的Bash绕过 - 云+社区 - 腾讯云 (tencent.com)

这里使用vi绕过:

在命令行输入vi回车,然后shift+;进入底层交互,输入  set shell=/bin/bash  然后回车。

1648824655_6247114f7a9259eda0c7e.png!small?1648824656330

接着在进入底层交互 直接输入shell 然后回车。

1648824748_624711ac6e052071c257b.png!small?1648824749382

他就会自己退出来。

1648824793_624711d937ce62a7f3909.png!small?1648824793995

这时候再使用   find / -perm -u=s -type f 2>/dev/null。

1648824854_62471216e3ef4a8893f4c.png!small?1648824855833

但是好像没啥能提权的,再看看 sudo提权有没有。

1648824911_6247124f6f642a7fcc7ed.png!small?1648824912199

看着啥也没有,但是感觉这个界面看着很奇怪,我就直接试了试sudo 查看 /root 目录。

1648825012_624712b499f9c101a0d65.png!small?1648825013371

直接就成了???

不管了直接看看flag。

1648825051_624712dbcb6632931d7d6.png!small?1648825052626

没有flag,只有一串加密字符,就先这样吧,这个靶场就打完了。

参考文章

VulnHub靶机学习——lazysysadmin | CN-SEC 中文网

(12条消息) 记一次菜鸡的低级折腾--WordPress get Webshell(后台文件编辑插马)_大千SS的博客-CSDN博客

# 渗透测试 # 网络安全 # web安全 # 系统安全 # CTF
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 hututu 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
hututu LV.3
这家伙太懒了,还未填写个人描述!
  • 7 文章数
  • 4 关注者
derpnstink靶场-打靶的乐趣
2022-05-07
靶场 w1r3s
2022-05-06
sick0s 靶场实践之getshell
2022-03-30