#免责声明:
本文属于个人笔记,仅用于学习,禁止使用于任何违法行为,任何违法行为与本人无关。
目录
VulnHub2018_DeRPnStiNK靶机
主机发现与端口扫描
web渗透
文件上传拿shell
FTP获取密钥
提权
靶机下载地址 DerpNStink: 1 ~ VulnHub
下载之后,本地解压,用VMware运行该虚拟机。
设置靶机 VulnHub2018_DeRPnStiNK 与攻击机网络环境,保证在同一局域网,方便都设置成net模式。
靶机MAC地址
nmap扫描存活的主机
目标靶机的IP地址为192.168.61.147
开放了21、22、80端口
扫描目录
发现phpmyadminl和wordpress
http://192.168.61.147/php/phpmyadmin/index.php
http://192.168.61.147/weblog/wp-admin/
开放21端口,尝试ftp未授权匿名登录失败
访问主页192.168.61.147
主页没有什么有用内容,F12检查一下页面内容,点了好多div标签,发现第一个flag
访问 http://192.168.61.147/robots.txt
访问 http://192.168.61.147/temporary/
给出小提示:尝试爆破!
访问 http://192.168.61.147/php/phpmyadmin/index.php
尝试弱口令登录失败
刚刚提示爆破,那就爆破一下
这里我尝试了,没爆破出来密码
访问 http://192.168.61.147/weblog/
这里可能主要是想告诉我们该站使用的CMS是WordPress
访问 http://derpnstink.local/weblog/wp-login.php
尝试弱口令登录admin admin 登录成功
版本号 Version 4.6.26
发现文件上传点
那我们试试文件上传的点,看可以拿到shell嘛
上传php木马
点击image,可以查看到已经上传上去被正常解析
可以看到我们上传的文件路径
http://192.168.61.147/weblog/wp-content/uploads/slideshow-gallery/1.php
访问上传的木马文件,蚁剑连接成功
发现wp-config.php文件,应该是个配置文件,cat查看一下
发现数据库账户和密码
ok!进去啦
找到wp的另一个用户和密码,密码被哈希加密
$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41
放到卡利里解密一下,嚯嚯!拿到密码 wedgie57
去登陆 unclestinky 用户,发现第二个flag
继续探索,到家目录下,发现了两个用户 stinky 和 mrderp
21和22端口开放,尝试ssh失败,需要密钥
尝试ftp连接,尝试使用刚刚获取到的密码wedgie57登录stinky用户,登录成功
发现derpissues.txt文件,里面是一段对话,应该是管理员登录时进行了抓包,提示我们有一个流量包文件,里面应该有一些有用信息
12:06 mrderp: hey i cant login to wordpress anymore. Can you look into it?
12:07 stinky: yeah. did you need a password reset?
12:07 mrderp: I think i accidently deleted my account
12:07 mrderp: i just need to logon once to make a change
12:07 stinky: im gonna packet capture so we can figure out whats going on
12:07 mrderp: that seems a bit overkill, but wtv
12:08 stinky: commence the sniffer!!!!
12:08 mrderp: -_-
12:10 stinky: fine derp, i think i fixed it for you though. cany you try to login?
12:11 mrderp: awesome it works!
12:12 stinky: we really are the best sysadmins #team
12:13 mrderp: i guess we are...
12:15 mrderp: alright I made the changes, feel free to decomission my account
12:20 stinky: done! yay
找到key.txt,获得密钥
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
将使用密钥登录,将密钥文件key.txt权限设置为700
如果证书失效了,在后面加上-o PubkeyAcceptedKeyTypes=+ssh-rsa
cd到Desktop发现了flag.txt,获得第三个flag
然后我们去找一下那个流量包,在Documents目录下发现derpissues.pcap
开启个http服务,将文件下载到kalil中
用wireshark打开,成功找到mrderp用户的密码 derpderpderpderpderpderpderp
输入mrderp字符串过滤查找更快一点
远程连接mrderp用户,成功登录
sudo -l 查看有没有sudo滥用提权
还真有哈,意思是允许mrderp用户在主机上以root用户权限读写执行/home/mrderp/binaries/目录下derpy开头的文件
那我们去binaries目录下找一找,发现/home/mrderp目录下没有该目录
没有就创造一个,再在该目录下创建个derpy.sh文件,文件里写入bash脚本
mkdir binaries
echo '/bin/bash' > derpy.sh
chmod 777 derpy.sh
sudo ./derpy.sh 提权成功,完结撒花!!!
最后应该还有一个flag,这里我忘了去root用户里找了!
靶场相关文章:Hack the DerpNStink VM (CTF Challenge) - Hacking Articles