Lazysysadmin靶机实战

0x00 环境搭建

靶机：ubuntu14
攻击机：kali、windows10
网络：NAT

0x01 信息收集

靶机和kali设置同一IP段，故直接nmap 192.168.190.0/24
靶机IP 192.168.190.132
开放端口：22、80、139、445、3306、6667

开放80和3306，存在web环境，先看下网页

查看源代码，发现有一串base64

data:image/png;base64,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

是一张图片的编码，也没有发现什么有用的信息

目前得知图片目录是Backnode_files，老规矩上扫描器
有一个phpinfo页面

http://192.168.190.132/info.php

找到wordpress程序

提示我的名字是togie

发现phpmyadmin目录

使用wpscan扫描网站，发现一个目录遍历的页面，但是都是图片
http://192.168.190.132/wordpress/wp-content/uploads/

注册页面

http://192.168.190.132/wordpress/wp-login.php?checkemail=registered

wordpress版本为4.8.1,搜索是否有这个版本的漏洞

使用?author=1 可以枚举网站用户
发现admin账户,查看id=2的用户，发现没有，网站只有admin账户

使用wpscan爆破账户

wpscan --url http://192.168.190.132/wordpress/ --passwords /home/pass.lst --usernames admin

看下其他端口，发现开放samba服务,记得好像有过samba漏洞

0x03 获取权限

使用msf探测smb漏洞

search samba
选择第一个 
use auxiliary/admin/smb/samba_symlink_traversal 
set rhost 192.168.190.132
set smbshare tmp
exploit

好吧..失败了。。

use exploit/linux/samba/is_known_pipename
set rhost 192.168.190.132
set SMB_SHARE_BASE /home/samba
exploit

同失败…

enum4linux工具是枚举windwos和samba系统信息工具

enum4linux 192.168.190.132

账号密码为空

存在IPC$

挂载命令

mount -t cifs -o username='',password='' //192.168.0.100/share$ /mnt

查看wordpress数据库配置文件

账户：Admin
密码：TogieMYSQL12345^^

使用数据库工具连接失败，突然想起之前有一个phpmyadmin，尝试登录成功,点开表查看数据报错

查看目录下的todolist文件，无信息,deets文件显示密码12345
尝试登录wordpress后台失败。应该是togie的密码没错了
尝试用这个账户密码登录数据库失败。。。
尝试登录ssh

ssh togie@192.168.190.132 -p 22 
输入密码，连接成功

查看文件，发现几个隐藏文件，看了下。。。发现看不懂。

直接sudo su一波获取了root权限..
查看家目录下的proof.txt文件

WX6k7NJtA8gfk*w5J3&T@*Ga6!0o5UP89hMVEQ#PT9851


Well done :)

Hope you learn't a few things along the way.

Regards,

Togie Mcdogie




Enjoy some random strings

WX6k7NJtA8gfk*w5J3&T@*Ga6!0o5UP89hMVEQ#PT9851
2d2v#X6x9%D6!DDf4xC1ds6YdOEjug3otDmc1$#slTET7
pf%&1nRpaj^68ZeV2St9GkdoDkj48Fl$MI97Zt2nebt02
bhO!5Je65B6Z0bhZhQ3W64wL65wonnQ$@yw%Zhy0U19pu

通过成功!!!!

0x04 总结

最后wordpress密码还是没有爆破出来…
惯性思维一看开放web就专门搞web去了，没有注意到其他端口服务的漏洞…
一如往常的还是得多学习多积累…