vulnhub 靶场 —— Lazysysadmin

免责声明

本博客文章仅供教育和研究目的使用。本文中提到的所有信息和技术均基于公开来源和合法获取的知识。本文不鼓励或支持任何非法活动，包括但不限于未经授权访问计算机系统、网络或数据。

作者对于读者使用本文中的信息所导致的任何直接或间接后果不承担任何责任。包括但不限于因使用本文所述技术而可能导致的法律诉讼、财产损失、隐私泄露或其他任何形式的责任。

在进行任何渗透测试或安全研究之前，请确保您已获得所有必要的授权，并遵守适用的法律和道德准则。未经授权的安全测试可能违反法律，并可能导致严重的法律后果。

本文中的内容仅供参考，不应被视为专业建议。在进行任何安全相关活动之前，建议咨询具有相应资质的专业人士。

作者保留对本博客文章的所有权利，并有权在未经通知的情况下进行修改或删除。

正文部分

一、前期准备

        目标：黑盒测试

        环境搭建：

                攻击机：Windows 10

                              Kali-2022 (192.168.162.27)

                靶机：Lazysysadmin 靶场

二、探索发现阶段

由于靶场没有给用户名和密码，所以需要自己去确定目标，逐步获取信息

2.1 主机发现

2.2 端口扫描

2.3 服务探测

经过服务探测，发现了 22、80、139 和 3306 这几个常见的端口以及服务。先来看看 HTTP 服务

访问了一下，发现没有什么有用的信息

三、入侵和感染阶段

3.1 目录扫描

扫描完后收获还挺多

3.2 扫描结果

3.2.1 PHP 详细配置信息

3.2.2 WordPress 博客系统

这里发现了一个疑似用户名的关键字，先记下来

3.3.3 后台登录页面

3.3.4 phpMyAdmin

四、攻击和利用阶段

在网页上游荡了那么久，只发现了一个疑似用户名的信息。那么先用来爆破一下 22 端口

4.1 SSH 服务攻击

启动 metasploit

4.1.1 搜索模块

4.1.2 配置参数

4.1.3 暴力破解

发现 togie 确实是登录系统的用户名

4.2 获取权限

4.3 查看权限

4.4 提升权限

4.5 范围扩张

查看网站根目录，搜寻更多的信息

发现 togie 用户密码

发现了博客系统的一个配置文件，查看一下里面的配置信息

发现了数据库的用户名和密码，到 phpMyAdmin 登录一下看看有什么有用信息

togie 用户的数据库权限有点低，不过也无伤大雅。信息收集的时候还发现有一个 Samba 服务，下面来看一下里面都有啥

发现可以用空密码访问，再往下看

确定共享目录，使用 kali 将共享目录挂载

这居然是网站根目录，这管理员也属实是懒，看来也没啥了……

不过信息收集时还找到一个后台登录页面，用已知的用户名和密码复用

居然使用连接数据库的用户名和密码登录进来了

五、持久化和恢复阶段

5.1 创建后门

为了使权限更加具有持久性，使用 root 用户给我们创建一个 WebShell，以便后期对系统的访问，在后台页面中乱翻找到了这个修改 404.php 内容的页面，猜测网页中一旦访问服务器中没有的资源时，便会执行 404.php。那么，将原始页面切换为冰蝎🐎

5.2 执行木马

找到可以触发 404.php 文件的地方。找了许久发现了这个页面

当鼠标放到 Hello world! 上时，字体颜色会发生改变

点击一下发现 URL 中出现了参数，那么将这个参数改一下看看是不是可以触发 404.php 文件。为了验证这个结果，在冰蝎🐎中添加一个输出语句，用来验证木马是否被执行

木马执行正常，删掉刚才的测试语句，接下来就要连接冰蝎🐎了

5.3 连接后门

5.4 清理痕迹

完事后要清理痕迹，就不演示了