2018-09-26-Vulnhub渗透测试实战writeup(3)

老规矩,先上nmap.....
nmap -sV 10.10.10.142结果如下:

PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.8 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.7 ((Ubuntu))
139/tcp open netbios-ssn Samba smbd 3.X (workgroup: LAZYSYSADMIN)
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: LAZYSYSADMIN)
3306/tcp open mysql MySQL (unauthorized)
6667/tcp open irc InspIRCd
MAC Address: 08:00:27:3D:15:51 (Oracle VirtualBox virtual NIC)
Service Info: Host: Admin.local; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 14.84 seconds
一般而言最好上-p-全端口扫描,但是太久了就先放一边。
从扫描结果来看这次开放的端口比较多,基本上比较重要的都有,22端口的openssh应该能找到拒绝服务还有其他用户名枚举等漏洞,80端口apache的版本已经知道了,samba可能存在重大漏洞,mysql试了一下telnet发现不给连,估计是开放在127.0.0.1了吧,6667开放的InspIRCd是一种IRC(Internet relay chat)服务器,用于聊天用,6667是不用TSL的端口号,6697使用加密传输。
接着收集版本信息,可以看看主机漏洞一波。
openssh的可以直接上cve搜,一堆漏洞,不过大多危害都不大,要么利用方式比较苛刻,要么就是拒绝服务攻击这种类型的,在实际中有点鸡肋。
Apache cve搜了一下,也没发现有啥好用的洞而言。
Samba找了一下,发现有一些远程代码执行,但是普遍比较难以利用,版本号不对或者没有exp等等。
InspIRCd找不到exp.

然后整理一下那个目录扫描的情况
这次目录扫描的结果出来很多,具体可以按照返回的响应状态码的不同而进行分类。
对应200状态码的有:
1.Backnode_files,对应后台的一些图片png,css,js文件等等。每张图片可以上binwalk分析一波。
2.wordpress,对应博主的博客页面,wordpress看看有没有应用一些第三方插件,这些插件可能存在一些缺陷漏洞等等,找得到exp就可以进行利用。
3.phpmyadmin登录页面,可能可以进行爆破?
4.info.php,对应了系统以及apache,php版本,路径等多方面的信息。
对应403状态码的主要是phpmyadmin下面对应的文件,一概没权限访问,所以这个没啥作用。

接着web端漏洞进行挖掘,主界面如下:


图一

点击discover以及anticare之后都没反应,因此直接上F12看源代码,没啥收获。
接着上Backnode_files看看图片,每张图片下下来Binwalk一波。
然而并未发现啥玩意,一般而言用binwalk先分析,有东西就用foremost提取,或者不行就直接把后缀该成分析出来的格式再提取有时候还需要用gedit看看有没有隐藏一些东西只是纯粹的文本等等。
wordpress界面尝试了一波xss,发现<script>标签全被过滤地连砸砸都不剩,基本没用啥插件,要打xss比较难


图二

这里顺手介绍学习一个工具,叫做wpscan(wordpress scan),用来扫描wordpress 的版本以及相应的插件,根据不断更新维护的数据库来扫描wordpress的漏洞插件以及缺陷主题,但是这里我并未扫描出啥问题。
图三

扫描结果如下所示:


图四

扫描发现并未发现啥插件,主题也是比较新的。

web端暂时就没啥可以搞的了,接下来拓展一下新思路,从前面扫描到开放的端口来入手。
前面扫描到机器开放了445以及139端口,对应了samba服务,因此直接使用一个叫enum4linux的工具来枚举数据。他在枚举samba信息的时候很有用。
结果如下所示:


Selection_001.png

图五

图六

可以看到枚举到samba用户名以及密码皆为空。
接下来使用samba服务获取文件,命令如下:

windows下获取共享资源
net use k: \10.10.10.142\share$

linux下获取共享资源

mount -t cifs -o username=' ',password=' ' //10.10.10.142/share$ /mnt

输入命令以后直接上/mnt文件夹查看共享目录,如下:


图七

接下来看看共享文件夹里面有啥东西,下面两个txt并未有啥内容,几个文件夹是打不开的,然后剩下有用的分别是一个deets.txt,内容如下:


图八

然后还有一个就是wordpress文件夹里面有一个wp-config.php里面有mysql的账户密码,如下所示:


图九

利用这个账号密码尝试了一波phpmyadmin的登录界面,发现直接上去了。
图十

进来以后想通过sql执行日志写shell,但是发现并没有权限,想使用select ... into outfile 也不行,同无权限。
那这条路就行不通了。
联想到之前那个wordpress里面提到管理员的名字是togie


图十一

以及前面的密码12345再拿到openssh尝试一波。如下:
图十二

来到这一步很正常了吧,上py
图十三

两个密码都是12345,这样获取到整个root权限。

下面再说一个方法getshell
前面在数据库那里获取的账号密码Admin/TogieMYSQL12345^^去登陆wordpress界面,是可以成功登录的,如下:

图十四

来到wordpress的管理页面了,就直接找apperance里面的themes,有一个处理404的php文件,直接编辑该404.php,然后插入php getshell代码上去,接着直接在终端netcat连接,后面就是python pty模块伪终端,然后就是利用内核版本找漏洞提权(CVE-2017-1000112)
这里再推荐一个提权资源:
https://github.com/SecWiki/linux-kernel-exploits

总结:
1.先进行端口扫描,获取端口信息,争取每一个端口服务都能注意到。
2.进行目录爆破,分个查看目录页面,多看看有没有额外信息。
3.利用enum4linux进行samba用户名或者密码的枚举,从这个突破点获取到敏感登录的账号信息。
4.利用获取的账号信息尝试openssh,wordpress,phpmyadmin的登录界面,发现phpmyadmin并未有权限,于是从wordpress直接写shell或者直接从ssh提升到root权限接可以了,这里wordpress写php shell的方法要记住,以后估计还会用到。

参考链接:https://xz.aliyun.com/t/2282
下载链接:https://www.vulnhub.com/entry/lazysysadmin-1,205/#vm

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 205,132评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,802评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,566评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,858评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,867评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,695评论 1 282
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,064评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,705评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 42,915评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,677评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,796评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,432评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,041评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,992评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,223评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,185评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,535评论 2 343

推荐阅读更多精彩内容