VulnHub靶机学习——lazysysadmin
字数 1320 2025-08-18 11:38:41

VulnHub靶机学习——Lazysysadmin 渗透测试教学文档

靶机概述

  • 难度等级:中级
  • 目标:获取root权限并找到flag
  • 运行环境
    • 攻击机:Kali Linux
    • 靶机:Lazysysadmin
    • 网络设置:NAT模式

信息收集阶段

1. 确定靶机IP地址

使用nmap进行初始扫描:

nmap -sn 192.168.50.0/24

发现靶机IP为192.168.50.138

2. 详细端口扫描

nmap -sV -A -p- 192.168.50.138

扫描结果显示开放了多个服务:

  • Web服务(HTTP)
  • SSH服务
  • SMB服务
  • PHPMyAdmin

3. Web目录爆破

使用dirbuster进行目录爆破:

dirb http://192.168.50.138

发现以下重要目录:

  • /wordpress (WordPress安装)
  • /phpmyadmin (PHPMyAdmin管理界面)

渗透攻击路径

路径一:通过SMB服务获取凭证

  1. 检查SMB共享
smbclient -L //192.168.50.138

发现共享目录share

  1. 匿名访问SMB共享
smbclient //192.168.50.138/share -N

成功访问,发现文件deets.txt

  1. 获取凭证
    deets.txt内容包含密码12345

路径二:利用获取的凭证

  1. 尝试SSH登录
ssh togie@192.168.50.138

使用密码12345成功登录

  1. 提权操作
sudo su

直接提权成功,获取root权限

路径三:通过WordPress获取权限(替代方案)

  1. 获取WordPress凭证
    在SMB共享中找到wp-config.php文件,包含数据库凭证

  2. 登录WordPress后台
    使用获取的数据库凭证登录WordPress管理界面

  3. 编辑主题文件插入反弹shell
    Appearance > Editor中编辑404.php模板,插入PHP反弹shell代码

  4. 设置监听

nc -lvnp 6666

访问404页面触发反弹shell

  1. 交互式shell
python -c 'import pty; pty.spawn("/bin/sh")'

关键发现与利用点

  1. SMB匿名访问

    • 靶机SMB服务配置不当,允许匿名访问
    • 共享文件中包含明文密码

  2. 弱密码利用

    • 管理员使用简单密码12345
    • 该密码可用于SSH和可能的其他服务

  3. sudo配置不当

    • togie用户被配置为无需密码即可使用sudo
    • 直接sudo su即可提权

  4. WordPress配置泄露

    • SMB共享中包含WordPress配置文件
    • 配置文件包含数据库凭证

总结与学习要点

  1. 信息收集的重要性

    • 全面的端口扫描和目录爆破是渗透测试的基础
    • 不要忽视任何开放的服务(如SMB)

  2. 配置安全

    • 避免使用弱密码和默认凭证
    • 敏感配置文件不应存放在可公开访问的位置
    • 服务(如SMB)应配置适当的访问控制

  3. 权限提升

    • 检查sudo权限配置
    • 查找SUID/GUID文件
    • 检查cron作业

  4. 多路径渗透

    • 同一目标通常存在多个攻击路径
    • 当一条路径受阻时,尝试其他方法

防御建议

  1. 强化密码策略

    • 使用复杂密码
    • 不同服务使用不同密码
    • 定期更换密码

  2. 服务配置

    • 禁用不必要的服务
    • 限制服务访问权限
    • 禁用匿名访问

  3. 权限管理

    • 遵循最小权限原则
    • 定期审核sudo权限
    • 避免普通用户拥有不必要的特权

  4. 敏感信息保护

    • 配置文件不应包含明文密码
    • 数据库凭证应加密存储
    • 限制配置文件的访问权限

通过这个靶机的练习,可以掌握基本的渗透测试流程和多种攻击技术,同时了解常见的安全配置错误及其防御方法。

VulnHub靶机学习——Lazysysadmin 渗透测试教学文档 靶机概述 难度等级 :中级 目标 :获取root权限并找到flag 运行环境 : 攻击机:Kali Linux 靶机:Lazysysadmin 网络设置:NAT模式 信息收集阶段 1. 确定靶机IP地址 使用nmap进行初始扫描: 发现靶机IP为 192.168.50.138 2. 详细端口扫描 扫描结果显示开放了多个服务: Web服务(HTTP) SSH服务 SMB服务 PHPMyAdmin 3. Web目录爆破 使用dirbuster进行目录爆破: 发现以下重要目录: /wordpress (WordPress安装) /phpmyadmin (PHPMyAdmin管理界面) 渗透攻击路径 路径一:通过SMB服务获取凭证 检查SMB共享 : 发现共享目录 share 匿名访问SMB共享 : 成功访问,发现文件 deets.txt 获取凭证 : deets.txt 内容包含密码 12345 路径二:利用获取的凭证 尝试SSH登录 : 使用密码 12345 成功登录 提权操作 : 直接提权成功,获取root权限 路径三:通过WordPress获取权限(替代方案) 获取WordPress凭证 : 在SMB共享中找到 wp-config.php 文件,包含数据库凭证 登录WordPress后台 : 使用获取的数据库凭证登录WordPress管理界面 编辑主题文件插入反弹shell : 在 Appearance > Editor 中编辑404.php模板,插入PHP反弹shell代码 设置监听 : 访问404页面触发反弹shell 交互式shell : 关键发现与利用点 SMB匿名访问 : 靶机SMB服务配置不当,允许匿名访问 共享文件中包含明文密码 弱密码利用 : 管理员使用简单密码 12345 该密码可用于SSH和可能的其他服务 sudo配置不当 : togie 用户被配置为无需密码即可使用sudo 直接 sudo su 即可提权 WordPress配置泄露 : SMB共享中包含WordPress配置文件 配置文件包含数据库凭证 总结与学习要点 信息收集的重要性 : 全面的端口扫描和目录爆破是渗透测试的基础 不要忽视任何开放的服务(如SMB) 配置安全 : 避免使用弱密码和默认凭证 敏感配置文件不应存放在可公开访问的位置 服务(如SMB)应配置适当的访问控制 权限提升 : 检查sudo权限配置 查找SUID/GUID文件 检查cron作业 多路径渗透 : 同一目标通常存在多个攻击路径 当一条路径受阻时,尝试其他方法 防御建议 强化密码策略 : 使用复杂密码 不同服务使用不同密码 定期更换密码 服务配置 : 禁用不必要的服务 限制服务访问权限 禁用匿名访问 权限管理 : 遵循最小权限原则 定期审核sudo权限 避免普通用户拥有不必要的特权 敏感信息保护 : 配置文件不应包含明文密码 数据库凭证应加密存储 限制配置文件的访问权限 通过这个靶机的练习,可以掌握基本的渗透测试流程和多种攻击技术,同时了解常见的安全配置错误及其防御方法。