Lazysysadmin

一、信息收集

nmap -Pn  -p- 192.168.1.130 -oA test
cat test.nmap | grep tcp | awk -F '/' '{printf $1","}'   
#22,80,139/445(samba),3306,6667
sudo nmap -sT -Pn -sC -sV -O -p22,80,139,445,3306,6667 192.168.1.130
#对于80端口,这是robots.txt给的路径 /old/ /test/ /TR2/ /Backnode_files/ 3306未授权

80端口，就一个页面，没什么可以点击的，看了看源代码，有个别的路径看了看，没什么特别的

dirb扫了一下，有wordpress、phpmyadmin

没什么特别的路径了，那就去wordpress首页看看

去后台界面看看，可以注册，但会发邮箱通知，接码地址没接到，算了

继续dirb，这次带上后缀，换上一个更大的字典

dirb http://192.168.1.130 -X ,.html,.php,.txt /usr/share/wordlists/dirb/big.txt

没什么特殊的

看看wordpress首页源代码，有很多url，也没什么特别的

换端口！那也没什么可换的啊；6667端口没什么漏洞

那目前为止知道的可能用户名Admin，togie；没其他信息了

看了下smba服务，找这个漏洞怎么找

二、smba信息收集

enum4linux 192.168.1.130 #枚举smb信息

这个意思应该是可以空账号空密码登录

里面有个deets.txt和todolist.txt文件，下载看看(get+文件名)

这个12345我试了各种组合，在后台登录界面

Admin:12345，togie:12345，deets:12345

噢，smbclient还没完，进入wordpress目录还有信息

比如 wp-config.php

phpmyadmin登录进去查看不了什么东西，select拒绝好像

这是因为默认的查询语句有问题，去SQL查询一下

hash-identifier 识别不了

三、ssh尝试

emmmm，那到目前为止，12345是谁的密码？

ssh togie@192.168.1.130 #12345

sudo -l，权限很大，拿到rootshell

补充

smbclient

Smbclient是一种用于访问服务器上SMB资源的工具，就像FTP客户端用于访问文件一样

方法二：后台上传

密码重用，Admin:TogieMYSQL12345^^ 进入后台

404的内容，在wordpress查询失败时，会出现，所以更改代码为：

嘶，没反应

这里途径有很多，可以去Plugins，上传一个phpshell脚本的压缩包，它会自己解压安装。第一次上传安装失败了，之后将php内容添加一些，假装是plugins文件

python -c "import pty;pty.spawn('/bin/bash')" #换shell
#提权方式尝试过后
#这里主要是为了将12345这个密码用到，考虑
su togie #12345切换到了togie的shell，之后就照旧了

总结

1. 扫描端口，80,139,445,22
2. 访问80端口，不管是列举的目录还是怎样，要么无法访问，要么空列表，wordpress没有进一步思路
3. 通过smbclient去读取共享信息，得到敏感内容
4. 将mysql凭证采取密码重用思想，尝试登录后台，成功
5. 去利用wordpress插件功能上传shell->webshell->togieshell->sudo -l->root

主要是smbclient的应用