vulnhub靶机渗透 DeRPnStiNK_1

DeRPnStiNK_1靶机入侵

1、环境搭建

下载地址：https://download.vulnhub.com/derpnstink/VulnHub2018_DeRPnStiNK.ova

​ 下载后用 VMware 或者 VirtualBox 打开，并配置好网卡，靶机与攻击机应置于同一网络下，靶机默认是桥接模式，能用攻击机连接到就行。这里连接到虚拟网卡1。

2、信息收集

• 主机发现

  使用nmap进行主机探测（-sP参数也可）：nmap -sn 192.168.110.1/24
  

  192.168.110.136,为靶机ip，也可以使用Kali中的arp-scan工具扫描：arp-scan 192.168.110.1/24

• 端口扫描

  使用nmap扫描端口，并做服务识别和深度扫描（加-A参数）：nmap -p- -A 192.168.110.136
  

  靶机开启了21端口FTP服务、22端口ssh服务和80端口web服务。环境为Ubuntu、Apache

3、漏洞探测

• 查看网页源码获取第一个flag
  

• 目录扫描

  使用dirsearch扫描网站目录
  

  发现phpadmin，尝试弱口令的登录，失败
  

  在robot.txt文件发现两个目录
  

  访问 /temporary/ 提示“尝试枚举”。尝试过后没什么发现。换个工具。继续爆破

  dirb http://192.168.110.136/ -w 
  

  发现weblog目录，进而找到网站后台，网站使用的cms是WordPress。访问该目录会自动跳转到http://derpnstink.local/weblog/ 我这里可以直接访问，如果有需要的话的绑定host
  
  

• 文件上传getshell

  尝试弱口令登录后台，发现admin/admin可以登录
  

  找到一个可以编辑上传的地方，直接上传php木马，然后点击图片新标签打开文件，即可获得木马路径
  

蚁剑连接成功，获得shell。找到mysql的账号密码：root/mysql

• 登录phpmyadmin

  利用获得的root/mysql 登录phpmyadmin

  找到了第二个flag
  
  找到web管理后台另一个账号unclestinky和hash加密过后的密码
  

  解密

  echo '$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41' >> mima.hash
  john mima.hash --wordlist=/usr/share/wordlists/rockyou.txt
  

得到密码：wedgie57

使用unclestinky / wedgie57 登录。只发现了刚刚在数据库中找到的flag2

继续在蚁剑中翻找文件，在家目录找到两个用户mrderp和stinky

• ftp获key

  尝试利用获得的两个账号和密码wedgie57登录ssh服务，发现ssh不支持密码登录，需要秘钥
  

  尝试登录ftp服务。使用stinky / wedgie57 登录成功
  

  找到ssh登录的key

  此外还找到一个提示信息，管理员登录时进行了抓包。按照经验来看，这个流量包可能是后期提权的关键

• ssh登录再获flag

  使用key登录ssh

  ssh -i key.txt [email protected]
  登录报错，发现证书失效了。的加上后面的
  -o PubkeyAcceptedKeyTypes=+ssh-rsa
  

找到第3个flag

4、提权

想办法找到前面提示管理员登录抓包的流量文件，一般不会太偏很容易找到。先在当前用户文件下找。实在没办法就使用find找特定后缀名

在/Documents找到，derpissues.pcap，拷贝到前面连接一句话木马的蚁剑可访问的目录，用蚁剑下载下来

拷贝到/tmp目录

使用wireshark打开

找到了mrderp用户密码：derpderpderpderpderpderpderp

切换到mrderp 用户

sudo -l 发现允许mrderp用户在主机上以root用户权限读写执行/home/mrderp/binaries/目录下derpy开头的文件

在/binaries/目录下创建derpy.sh 文件。并sudo执行,成功提权

找到最后一个flag