【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权

 #免责声明:
本文属于个人笔记,仅用于学习,禁止使用于任何违法行为,任何违法行为与本人无关。

目录

VulnHub2018_DeRPnStiNK靶机

主机发现与端口扫描

web渗透

文件上传拿shell

FTP获取密钥

提权


VulnHub2018_DeRPnStiNK靶机

靶机下载地址 DerpNStink: 1 ~ VulnHub

下载之后,本地解压,用VMware运行该虚拟机。

设置靶机 VulnHub2018_DeRPnStiNK 与攻击机网络环境,保证在同一局域网,方便都设置成net模式。

主机发现与端口扫描

靶机MAC地址

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第1张图片

nmap扫描存活的主机

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第2张图片

目标靶机的IP地址为192.168.61.147

开放了21、22、80端口

扫描目录

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第3张图片

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第4张图片

发现phpmyadminl和wordpress

http://192.168.61.147/php/phpmyadmin/index.php

http://192.168.61.147/weblog/wp-admin/

web渗透

开放21端口,尝试ftp未授权匿名登录失败

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第5张图片

访问主页192.168.61.147

主页没有什么有用内容,F12检查一下页面内容,点了好多div标签,发现第一个flag

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第6张图片

访问 http://192.168.61.147/robots.txt

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第7张图片

访问 http://192.168.61.147/temporary/

给出小提示:尝试爆破!

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第8张图片

访问 http://192.168.61.147/php/phpmyadmin/index.php

尝试弱口令登录失败

刚刚提示爆破,那就爆破一下

这里我尝试了,没爆破出来密码

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第9张图片

访问 http://192.168.61.147/weblog/

这里可能主要是想告诉我们该站使用的CMS是WordPress

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第10张图片

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第11张图片

访问 http://derpnstink.local/weblog/wp-login.php
尝试弱口令登录admin admin 登录成功

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第12张图片

版本号 Version 4.6.26

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第13张图片

发现文件上传点

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第14张图片

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第15张图片

文件上传拿shell

那我们试试文件上传的点,看可以拿到shell嘛

上传php木马

点击image,可以查看到已经上传上去被正常解析

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第16张图片

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第17张图片

可以看到我们上传的文件路径
http://192.168.61.147/weblog/wp-content/uploads/slideshow-gallery/1.php

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第18张图片

访问上传的木马文件,蚁剑连接成功

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第19张图片

发现wp-config.php文件,应该是个配置文件,cat查看一下

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第20张图片

发现数据库账户和密码

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第21张图片

ok!进去啦

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第22张图片

找到wp的另一个用户和密码,密码被哈希加密

$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第23张图片

放到卡利里解密一下,嚯嚯!拿到密码 wedgie57

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第24张图片

去登陆 unclestinky 用户,发现第二个flag

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第25张图片

继续探索,到家目录下,发现了两个用户 stinky 和 mrderp

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第26张图片

FTP获取密钥

21和22端口开放,尝试ssh失败,需要密钥

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第27张图片

尝试ftp连接,尝试使用刚刚获取到的密码wedgie57登录stinky用户,登录成功

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第28张图片

发现derpissues.txt文件,里面是一段对话,应该是管理员登录时进行了抓包,提示我们有一个流量包文件,里面应该有一些有用信息

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第29张图片

12:06 mrderp: hey i cant login to wordpress anymore. Can you look into it?
12:07 stinky: yeah. did you need a password reset?
12:07 mrderp: I think i accidently deleted my account
12:07 mrderp: i just need to logon once to make a change
12:07 stinky: im gonna packet capture so we can figure out whats going on
12:07 mrderp: that seems a bit overkill, but wtv
12:08 stinky: commence the sniffer!!!!
12:08 mrderp: -_-
12:10 stinky: fine derp, i think i fixed it for you though. cany you try to login?
12:11 mrderp: awesome it works!
12:12 stinky: we really are the best sysadmins #team
12:13 mrderp: i guess we are...
12:15 mrderp: alright I made the changes, feel free to decomission my account
12:20 stinky: done! yay

找到key.txt,获得密钥

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第30张图片

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

将使用密钥登录,将密钥文件key.txt权限设置为700

如果证书失效了,在后面加上-o PubkeyAcceptedKeyTypes=+ssh-rsa

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第31张图片

cd到Desktop发现了flag.txt,获得第三个flag

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第32张图片

然后我们去找一下那个流量包,在Documents目录下发现derpissues.pcap

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第33张图片

开启个http服务,将文件下载到kalil中

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第34张图片

用wireshark打开,成功找到mrderp用户的密码 derpderpderpderpderpderpderp

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第35张图片

输入mrderp字符串过滤查找更快一点

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第36张图片

远程连接mrderp用户,成功登录

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第37张图片

提权

sudo -l 查看有没有sudo滥用提权

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第38张图片

还真有哈,意思是允许mrderp用户在主机上以root用户权限读写执行/home/mrderp/binaries/目录下derpy开头的文件

那我们去binaries目录下找一找,发现/home/mrderp目录下没有该目录

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第39张图片

没有就创造一个,再在该目录下创建个derpy.sh文件,文件里写入bash脚本

mkdir binaries
echo '/bin/bash' > derpy.sh
chmod 777 derpy.sh

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第40张图片

sudo ./derpy.sh 提权成功,完结撒花!!!

【vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权_第41张图片

最后应该还有一个flag,这里我忘了去root用户里找了!

靶场相关文章:Hack the DerpNStink VM (CTF Challenge) - Hacking Articles

你可能感兴趣的:(vulnhub靶场提权,网络安全,安全性测试)