180 подписчиков

Решение VulnHub (LazySysadmin)

25 февраля 202525 фев 2025

1 мин

Приветствую! Сегодня решаем простую машинку LazySysAdmin При помощи утилиты nmap собираем информацию о том, какие порты, сервисы и их версии крутятся на машине. Версия OpenSSH подсвечивает нам с каким дистрибутивом мы имеем дело. Наша цель на 80-м порту выглядит следующим образом: Тут смотреть особо нечего т.к. вебка - это кроличья нора. Нужно копать дальше. Поскольку у нас открыты порты 139 и 445, которые отвечают за расшаренные папки, мы используем smbclient. smbclient — это клиент, который может «общаться» с сервисом SMB. Попробуем просмотреть расширенные папки на хосте: Здесь мы успешно вошли в систему с помощью анонимного входа и теперь можем получить доступ к диску «share$». $smbclient //192.168.0.103/share$ Тут нужно осмотреться и позаглядывать внутрь файлов. Необходимые файлы можно скачать на атакующую машину при помощи команды get <имя файла>, но можно просмотреть их и через веб: В файле deets.txt будет лежать пароль. Из интересного ещё можно отметить директорию /wordpress $

Оглавление

Сбор информации
Энумерация SMB
Повышение привилегий

Приветствую! Сегодня решаем простую машинку LazySysAdmin

Сбор информации

При помощи утилиты nmap собираем информацию о том, какие порты, сервисы и их версии крутятся на машине.

Версия OpenSSH подсвечивает нам с каким дистрибутивом мы имеем дело.

Наша цель на 80-м порту выглядит следующим образом:

Тут смотреть особо нечего т.к. вебка - это кроличья нора. Нужно копать дальше.

Энумерация SMB

Поскольку у нас открыты порты 139 и 445, которые отвечают за расшаренные папки, мы используем smbclient.

smbclient — это клиент, который может «общаться» с сервисом SMB.

Попробуем просмотреть расширенные папки на хосте:

Здесь мы успешно вошли в систему с помощью анонимного входа и теперь можем получить доступ к диску «share$».

$smbclient //192.168.0.103/share$

Тут нужно осмотреться и позаглядывать внутрь файлов.

Необходимые файлы можно скачать на атакующую машину при помощи команды get <имя файла>, но можно просмотреть их и через веб:

В файле deets.txt будет лежать пароль.

Из интересного ещё можно отметить директорию /wordpress

$get wp-config.php

Внутри конфига можем найти ещё креды админа для СУБД:

При фаззинге директорий сайта можно найти точку входа - авторизация через phpMyAdmin

И проходим авторизацию - Admin:TogieMYSQL12345^^ (эти же креды сработают при входе на /wordpress/wp-admin)

Однако это не даст нам особо результатов. Ничего полезного там нет, но если посмотреть директорию /wordpress, то можно увидеть следующее:

Немного подумав, я вспомнил про ssh и попробовал зайти под именем togie (Пароль - 12345).

И теперь у нас есть доступ к обычной учётке.

Повышение привилегий

Данный юзер относится к группе sudo, а значит мы легко можем стать root при помощи sudo su:

Остаётся только перейти в директорию /root и взять флаг! Всё совсем просто.

Выводы

Как вариант ещё можно было залить reverse-shell в код страницу 403 и при вызове несуществующей страницы получить оболочку. Такое решение я уже показывал и в очередной раз показывать одно и то же не захотел. Я стараюсь всегда сделать акцент на чём-то новом для вас. Даже если машинка совсем лёгкая.

Ну и в заключение: Вот что бывает, если у пользователя группы sudo есть права на выполнение чего угодно. Гы :)

Гаджеты и электроника

5,73 млн интересуются