【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权

 #免责声明：
本文属于个人笔记，仅用于学习，禁止使用于任何违法行为，任何违法行为与本人无关。

目录

VulnHub2018_DeRPnStiNK靶机

主机发现与端口扫描

web渗透

文件上传拿shell

FTP获取密钥

提权

---

VulnHub2018_DeRPnStiNK靶机

靶机下载地址 DerpNStink: 1 ~ VulnHub

下载之后，本地解压，用VMware运行该虚拟机。

设置靶机 VulnHub2018_DeRPnStiNK 与攻击机网络环境，保证在同一局域网，方便都设置成net模式。

主机发现与端口扫描

靶机MAC地址

nmap扫描存活的主机

目标靶机的IP地址为192.168.61.147

开放了21、22、80端口

扫描目录

发现phpmyadminl和wordpress

http://192.168.61.147/php/phpmyadmin/index.php

http://192.168.61.147/weblog/wp-admin/

web渗透

开放21端口，尝试ftp未授权匿名登录失败

访问主页192.168.61.147

主页没有什么有用内容，F12检查一下页面内容，点了好多div标签，发现第一个flag

访问 http://192.168.61.147/robots.txt

访问 http://192.168.61.147/temporary/

给出小提示：尝试爆破！

访问 http://192.168.61.147/php/phpmyadmin/index.php

尝试弱口令登录失败

刚刚提示爆破，那就爆破一下

这里我尝试了，没爆破出来密码

访问 http://192.168.61.147/weblog/

这里可能主要是想告诉我们该站使用的CMS是WordPress

访问 http://derpnstink.local/weblog/wp-login.php
尝试弱口令登录admin admin 登录成功

版本号 Version 4.6.26

发现文件上传点

文件上传拿shell

那我们试试文件上传的点，看可以拿到shell嘛

上传php木马

点击image，可以查看到已经上传上去被正常解析

可以看到我们上传的文件路径
http://192.168.61.147/weblog/wp-content/uploads/slideshow-gallery/1.php

访问上传的木马文件，蚁剑连接成功

发现wp-config.php文件，应该是个配置文件，cat查看一下

发现数据库账户和密码

ok！进去啦

找到wp的另一个用户和密码，密码被哈希加密

$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41

放到卡利里解密一下，嚯嚯！拿到密码 wedgie57

去登陆 unclestinky 用户，发现第二个flag

继续探索，到家目录下，发现了两个用户 stinky 和 mrderp

FTP获取密钥

21和22端口开放，尝试ssh失败，需要密钥

尝试ftp连接，尝试使用刚刚获取到的密码wedgie57登录stinky用户，登录成功

发现derpissues.txt文件，里面是一段对话，应该是管理员登录时进行了抓包，提示我们有一个流量包文件，里面应该有一些有用信息

12:06 mrderp: hey i cant login to wordpress anymore. Can you look into it?
12:07 stinky: yeah. did you need a password reset?
12:07 mrderp: I think i accidently deleted my account
12:07 mrderp: i just need to logon once to make a change
12:07 stinky: im gonna packet capture so we can figure out whats going on
12:07 mrderp: that seems a bit overkill, but wtv
12:08 stinky: commence the sniffer!!!!
12:08 mrderp: -_-
12:10 stinky: fine derp, i think i fixed it for you though. cany you try to login?
12:11 mrderp: awesome it works!
12:12 stinky: we really are the best sysadmins #team
12:13 mrderp: i guess we are...
12:15 mrderp: alright I made the changes, feel free to decomission my account
12:20 stinky: done! yay

找到key.txt，获得密钥

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

将使用密钥登录，将密钥文件key.txt权限设置为700

如果证书失效了，在后面加上-o PubkeyAcceptedKeyTypes=+ssh-rsa

cd到Desktop发现了flag.txt，获得第三个flag

然后我们去找一下那个流量包，在Documents目录下发现derpissues.pcap

开启个http服务，将文件下载到kalil中

用wireshark打开，成功找到mrderp用户的密码 derpderpderpderpderpderpderp

输入mrderp字符串过滤查找更快一点

远程连接mrderp用户，成功登录

提权

sudo -l 查看有没有sudo滥用提权

还真有哈，意思是允许mrderp用户在主机上以root用户权限读写执行/home/mrderp/binaries/目录下derpy开头的文件

那我们去binaries目录下找一找，发现/home/mrderp目录下没有该目录

没有就创造一个，再在该目录下创建个derpy.sh文件，文件里写入bash脚本

mkdir binaries
echo '/bin/bash' > derpy.sh
chmod 777 derpy.sh

sudo ./derpy.sh 提权成功，完结撒花！！!

最后应该还有一个flag，这里我忘了去root用户里找了！

靶场相关文章：Hack the DerpNStink VM (CTF Challenge) - Hacking Articles