渗透测试之DeRPnStiNK

端口扫描：

80端口开放，且存在robots.txt文件。

存在ftp服务器和ssh服务器。可以尝试爆破或者搜索exploit库看是否存在相关漏洞。

 

对web服务进行扫描：

应该存在phpmyadmin和wp两个程序。

先查看首页，获取到flag1：

之后使用弱口令尝试phpmyadmin失败。

还是使用wpscan扫描wordpress，发现两个用户

之前一直纠结unclestinky，以为会存在弱口令，结果万万没想到，admin存在弱口令：

论一个好字典的重要性。我的弱口令1000里面居然没有admin，我佛了。

另外在侦查过程中查看源代码，发现可能存在后门：

而且通过查看其中一个后门，返回结果很像是msf的php类型shell。但是不是自己留的，不能反弹shell出来。说明在后台可能有个地方可以留后门。

登录admin找到这个留后门的地方：

通过后门成功获取meterpreter：

读取mysql配置，获取flag2：

 

然后在user表找到用户uncletinky的hash：首先分析一波：

利用john集合rockyou字典成功解出hash：

尝试ssh登录：

之前通过meterpreter收集一波信息：

禁止登录，嗯。。。。

不急之前扫端口，发现还有个ftp，试试：

成功登录。最后翻文件夹，在ssh文件深入找到了私钥：

使用私钥登录：

获取flag3：

在document文档发现一个pacp包，下载到本地分析一波：

追踪tcp流，在第37个包找到数据：

发现登录账号密码：

Su切换用户成功：

+

 

翻看文件夹，在Desktop目录查看到helpdesk.log:

应该可以使用sudo,查看一些sudo权限：

可以使用binaries目录下的derpy开头的文件，我们自己创建一个这样的脚本：

创建一个输出id的脚本，使用sudo执行，成功输出root的信息。

之后可以弹shell，可以直接读取最后一个flag：

嗯。。。。弹不出来。。。

直接读取flag：