DeRPnStiNK_1靶机入侵
1、环境搭建
下载地址:https://download.vulnhub.com/derpnstink/VulnHub2018_DeRPnStiNK.ova
下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。这里连接到虚拟网卡1。
2、信息收集
-
主机发现
使用nmap进行主机探测(-sP参数也可):nmap -sn 192.168.110.1/24
192.168.110.136,为靶机ip,也可以使用Kali中的arp-scan工具扫描:arp-scan 192.168.110.1/24
-
端口扫描
使用nmap扫描端口,并做服务识别和深度扫描(加-A参数):nmap -p- -A 192.168.110.136
靶机开启了21端口FTP服务、22端口ssh服务和80端口web服务。环境为Ubuntu、Apache
3、漏洞探测
-
查看网页源码获取第一个flag
-
目录扫描
使用dirsearch扫描网站目录
发现phpadmin,尝试弱口令的登录,失败
在robot.txt文件发现两个目录
访问 /temporary/ 提示“尝试枚举”。尝试过后没什么发现。换个工具。继续爆破
dirb http://192.168.110.136/ -w发现weblog目录,进而找到网站后台,网站使用的cms是WordPress。访问该目录会自动跳转到http://derpnstink.local/weblog/ 我这里可以直接访问,如果有需要的话的绑定host
-
文件上传getshell
尝试弱口令登录后台,发现admin/admin可以登录
找到一个可以编辑上传的地方,直接上传php木马,然后点击图片新标签打开文件,即可获得木马路径
蚁剑连接成功,获得shell。找到mysql的账号密码:root/mysql
-
登录phpmyadmin
利用获得的root/mysql 登录phpmyadmin
找到了第二个flag
找到web管理后台另一个账号unclestinky和hash加密过后的密码
解密
echo '$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41' >> mima.hash john mima.hash --wordlist=/usr/share/wordlists/rockyou.txt
得到密码:wedgie57
使用unclestinky / wedgie57 登录。只发现了刚刚在数据库中找到的flag2
继续在蚁剑中翻找文件,在家目录找到两个用户mrderp和stinky
-
ftp获key
尝试利用获得的两个账号和密码wedgie57登录ssh服务,发现ssh不支持密码登录,需要秘钥
尝试登录ftp服务。使用stinky / wedgie57 登录成功
找到ssh登录的key
此外还找到一个提示信息,管理员登录时进行了抓包。按照经验来看,这个流量包可能是后期提权的关键
-
ssh登录再获flag
使用key登录ssh
ssh -i key.txt stinky@192.168.110.136 登录报错,发现证书失效了。的加上后面的 -o PubkeyAcceptedKeyTypes=+ssh-rsa
找到第3个flag
4、提权
想办法找到前面提示管理员登录抓包的流量文件,一般不会太偏很容易找到。先在当前用户文件下找。实在没办法就使用find找特定后缀名
在/Documents找到,derpissues.pcap,拷贝到前面连接一句话木马的蚁剑可访问的目录,用蚁剑下载下来
拷贝到/tmp目录
使用wireshark打开
找到了mrderp用户密码:derpderpderpderpderpderpderp
切换到mrderp 用户
sudo -l 发现允许mrderp用户在主机上以root用户权限读写执行/home/mrderp/binaries/目录下derpy开头的文件
在/binaries/目录下创建derpy.sh 文件。并sudo执行,成功提权
找到最后一个flag
791
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
