2018-09-26-Vulnhub渗透测试实战writeup(

老规矩，先上nmap.....
nmap -sV 10.10.10.142结果如下：

PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.8 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.7 ((Ubuntu))
139/tcp open netbios-ssn Samba smbd 3.X (workgroup: LAZYSYSADMIN)
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: LAZYSYSADMIN)
3306/tcp open mysql MySQL (unauthorized)
6667/tcp open irc InspIRCd
MAC Address: 08:00:27:3D:15:51 (Oracle VirtualBox virtual NIC)
Service Info: Host: Admin.local; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 14.84 seconds
一般而言最好上-p-全端口扫描，但是太久了就先放一边。
从扫描结果来看这次开放的端口比较多，基本上比较重要的都有，22端口的openssh应该能找到拒绝服务还有其他用户名枚举等漏洞，80端口apache的版本已经知道了，samba可能存在重大漏洞，mysql试了一下telnet发现不给连，估计是开放在127.0.0.1了吧，6667开放的InspIRCd是一种IRC(Internet relay chat)服务器，用于聊天用，6667是不用TSL的端口号，6697使用加密传输。
接着收集版本信息，可以看看主机漏洞一波。
openssh的可以直接上cve搜，一堆漏洞，不过大多危害都不大，要么利用方式比较苛刻，要么就是拒绝服务攻击这种类型的，在实际中有点鸡肋。
Apache cve搜了一下，也没发现有啥好用的洞而言。
Samba找了一下，发现有一些远程代码执行，但是普遍比较难以利用，版本号不对或者没有exp等等。
InspIRCd找不到exp.

然后整理一下那个目录扫描的情况
这次目录扫描的结果出来很多，具体可以按照返回的响应状态码的不同而进行分类。
对应200状态码的有：
1.Backnode_files，对应后台的一些图片png,css,js文件等等。每张图片可以上binwalk分析一波。
2.wordpress,对应博主的博客页面，wordpress看看有没有应用一些第三方插件，这些插件可能存在一些缺陷漏洞等等，找得到exp就可以进行利用。
3.phpmyadmin登录页面,可能可以进行爆破？
4.info.php,对应了系统以及apache,php版本，路径等多方面的信息。
对应403状态码的主要是phpmyadmin下面对应的文件，一概没权限访问，所以这个没啥作用。

接着web端漏洞进行挖掘，主界面如下：

图一

点击discover以及anticare之后都没反应，因此直接上F12看源代码，没啥收获。
接着上Backnode_files看看图片，每张图片下下来Binwalk一波。
然而并未发现啥玩意，一般而言用binwalk先分析，有东西就用foremost提取，或者不行就直接把后缀该成分析出来的格式再提取有时候还需要用gedit看看有没有隐藏一些东西只是纯粹的文本等等。
wordpress界面尝试了一波xss,发现<script>标签全被过滤地连砸砸都不剩，基本没用啥插件，要打xss比较难

图二
这里顺手介绍学习一个工具，叫做wpscan(wordpress scan),用来扫描wordpress 的版本以及相应的插件，根据不断更新维护的数据库来扫描wordpress的漏洞插件以及缺陷主题，但是这里我并未扫描出啥问题。
图三

扫描结果如下所示：

图四
扫描发现并未发现啥插件，主题也是比较新的。

web端暂时就没啥可以搞的了，接下来拓展一下新思路，从前面扫描到开放的端口来入手。
前面扫描到机器开放了445以及139端口，对应了samba服务，因此直接使用一个叫enum4linux的工具来枚举数据。他在枚举samba信息的时候很有用。
结果如下所示：

Selection_001.png
图五
图六

可以看到枚举到samba用户名以及密码皆为空。
接下来使用samba服务获取文件，命令如下：

windows下获取共享资源
net use k: \10.10.10.142\share$

linux下获取共享资源

mount -t cifs -o username=' ',password=' ' //10.10.10.142/share$ /mnt

输入命令以后直接上/mnt文件夹查看共享目录，如下：

图七

接下来看看共享文件夹里面有啥东西，下面两个txt并未有啥内容，几个文件夹是打不开的，然后剩下有用的分别是一个deets.txt,内容如下：

图八

然后还有一个就是wordpress文件夹里面有一个wp-config.php里面有mysql的账户密码，如下所示：

图九
利用这个账号密码尝试了一波phpmyadmin的登录界面，发现直接上去了。
图十

进来以后想通过sql执行日志写shell，但是发现并没有权限，想使用select ... into outfile 也不行，同无权限。
那这条路就行不通了。
联想到之前那个wordpress里面提到管理员的名字是togie

图十一
以及前面的密码12345再拿到openssh尝试一波。如下：
图十二
来到这一步很正常了吧，上py
图十三
两个密码都是12345，这样获取到整个root权限。

下面再说一个方法getshell
前面在数据库那里获取的账号密码Admin/TogieMYSQL12345^^去登陆wordpress界面，是可以成功登录的，如下：

图十四
来到wordpress的管理页面了，就直接找apperance里面的themes，有一个处理404的php文件，直接编辑该404.php,然后插入php getshell代码上去，接着直接在终端netcat连接，后面就是python pty模块伪终端，然后就是利用内核版本找漏洞提权（CVE-2017-1000112）
这里再推荐一个提权资源：
https://github.com/SecWiki/linux-kernel-exploits

总结：
1.先进行端口扫描，获取端口信息，争取每一个端口服务都能注意到。
2.进行目录爆破，分个查看目录页面，多看看有没有额外信息。
3.利用enum4linux进行samba用户名或者密码的枚举，从这个突破点获取到敏感登录的账号信息。
4.利用获取的账号信息尝试openssh,wordpress，phpmyadmin的登录界面，发现phpmyadmin并未有权限，于是从wordpress直接写shell或者直接从ssh提升到root权限接可以了，这里wordpress写php shell的方法要记住，以后估计还会用到。

参考链接：https://xz.aliyun.com/t/2282
下载链接：https://www.vulnhub.com/entry/lazysysadmin-1,205/#vm