vulnhub靶机渗透 DeRPnStiNK_1

DeRPnStiNK_1靶机入侵

1、环境搭建

下载地址:https://download.vulnhub.com/derpnstink/VulnHub2018_DeRPnStiNK.ova

​ 下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。这里连接到虚拟网卡1。

2、信息收集

  • 主机发现

    使用nmap进行主机探测(-sP参数也可):nmap -sn 192.168.110.1/24
    vulnhub靶机渗透 DeRPnStiNK_1_第1张图片

    192.168.110.136,为靶机ip,也可以使用Kali中的arp-scan工具扫描:arp-scan 192.168.110.1/24

  • 端口扫描

    使用nmap扫描端口,并做服务识别和深度扫描(加-A参数):nmap -p- -A 192.168.110.136
    vulnhub靶机渗透 DeRPnStiNK_1_第2张图片

    靶机开启了21端口FTP服务、22端口ssh服务和80端口web服务。环境为Ubuntu、Apache

3、漏洞探测

  • 查看网页源码获取第一个flag
    vulnhub靶机渗透 DeRPnStiNK_1_第3张图片

  • 目录扫描

    使用dirsearch扫描网站目录
    vulnhub靶机渗透 DeRPnStiNK_1_第4张图片

    发现phpadmin,尝试弱口令的登录,失败
    vulnhub靶机渗透 DeRPnStiNK_1_第5张图片

    在robot.txt文件发现两个目录
    vulnhub靶机渗透 DeRPnStiNK_1_第6张图片

    访问 /temporary/ 提示“尝试枚举”。尝试过后没什么发现。换个工具。继续爆破

    dirb http://192.168.110.136/ -w 
    

    发现weblog目录,进而找到网站后台,网站使用的cms是WordPress。访问该目录会自动跳转到http://derpnstink.local/weblog/ 我这里可以直接访问,如果有需要的话的绑定host
    vulnhub靶机渗透 DeRPnStiNK_1_第7张图片
    vulnhub靶机渗透 DeRPnStiNK_1_第8张图片

  • 文件上传getshell

    尝试弱口令登录后台,发现admin/admin可以登录
    vulnhub靶机渗透 DeRPnStiNK_1_第9张图片

    找到一个可以编辑上传的地方,直接上传php木马,然后点击图片新标签打开文件,即可获得木马路径
    vulnhub靶机渗透 DeRPnStiNK_1_第10张图片

蚁剑连接成功,获得shell。找到mysql的账号密码:root/mysql
vulnhub靶机渗透 DeRPnStiNK_1_第11张图片

  • 登录phpmyadmin

    利用获得的root/mysql 登录phpmyadmin

    找到了第二个flag
    vulnhub靶机渗透 DeRPnStiNK_1_第12张图片
    找到web管理后台另一个账号unclestinky和hash加密过后的密码
    vulnhub靶机渗透 DeRPnStiNK_1_第13张图片

    解密

    echo '$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41' >> mima.hash
    john mima.hash --wordlist=/usr/share/wordlists/rockyou.txt
    

vulnhub靶机渗透 DeRPnStiNK_1_第14张图片

得到密码:wedgie57

使用unclestinky / wedgie57 登录。只发现了刚刚在数据库中找到的flag2
vulnhub靶机渗透 DeRPnStiNK_1_第15张图片

继续在蚁剑中翻找文件,在家目录找到两个用户mrderp和stinky
vulnhub靶机渗透 DeRPnStiNK_1_第16张图片

  • ftp获key

    尝试利用获得的两个账号和密码wedgie57登录ssh服务,发现ssh不支持密码登录,需要秘钥
    vulnhub靶机渗透 DeRPnStiNK_1_第17张图片

    尝试登录ftp服务。使用stinky / wedgie57 登录成功
    vulnhub靶机渗透 DeRPnStiNK_1_第18张图片

    找到ssh登录的key

    此外还找到一个提示信息,管理员登录时进行了抓包。按照经验来看,这个流量包可能是后期提权的关键

vulnhub靶机渗透 DeRPnStiNK_1_第19张图片

  • ssh登录再获flag

    使用key登录ssh

    ssh -i key.txt [email protected]
    登录报错,发现证书失效了。的加上后面的
    -o PubkeyAcceptedKeyTypes=+ssh-rsa
    

在这里插入图片描述
vulnhub靶机渗透 DeRPnStiNK_1_第20张图片
找到第3个flag
vulnhub靶机渗透 DeRPnStiNK_1_第21张图片

4、提权

想办法找到前面提示管理员登录抓包的流量文件,一般不会太偏很容易找到。先在当前用户文件下找。实在没办法就使用find找特定后缀名
在这里插入图片描述

在/Documents找到,derpissues.pcap,拷贝到前面连接一句话木马的蚁剑可访问的目录,用蚁剑下载下来

拷贝到/tmp目录
在这里插入图片描述
vulnhub靶机渗透 DeRPnStiNK_1_第22张图片

使用wireshark打开
vulnhub靶机渗透 DeRPnStiNK_1_第23张图片

找到了mrderp用户密码:derpderpderpderpderpderpderp

切换到mrderp 用户

在这里插入图片描述

sudo -l 发现允许mrderp用户在主机上以root用户权限读写执行/home/mrderp/binaries/目录下derpy开头的文件

vulnhub靶机渗透 DeRPnStiNK_1_第24张图片
在/binaries/目录下创建derpy.sh 文件。并sudo执行,成功提权

vulnhub靶机渗透 DeRPnStiNK_1_第25张图片
找到最后一个flag
vulnhub靶机渗透 DeRPnStiNK_1_第26张图片

你可能感兴趣的:(靶机笔记,web安全,网络安全)