vulnhub_DeRPnStiNK靶机渗透测试

VulnHub2018_DeRPnStiNK靶机

https://www.vulnhub.com/entry/derpnstink-1,221/

flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)

flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)

flag4(49dca65f362fee401292ed7ada96f96295eab1e589c52e4e66bf4aedda715fdd)

文章目录

信息收集

  1. 使用nmap扫描靶机发现开放了21 22 80端口,全扫描发现21端口没有匿名登录
  1. 使用目录扫描工具扫描一下目录结构,得到了一个wordpress博客目录,PhpMyAdmin的目录

web渗透

  1. 使用的dirb扫描的发现更加全面一点,使用f12查看了页面源代码发现有一个深层套娃的flag1,还有一个目录
  1. 访问目录内容提示需要修改host文件,应该是有域名的
  1. 访问weblog发现url地址变了,前面直接变成域名了,没想到访问直接给出来了,修改host文件
  1. wordpress的框架,肯定就是对后台登录的利用了,先查看一下,后台登录地址可以正常访问,使用wpscan进行用户名枚举得到admin用户
  1. 对目录进行信息收集并没有密码的线索,只能尝试爆破一下了,没想到密码就是admin
  1. 登录后台之后,发现功能很少,证明该用户权限不高

获取权限

  1. 探索一下给出的功能,发现编写信息可以上传文件,而且还没有限制,直接上传反弹shell的文件
  1. 根据其他信息的比对,猜测上传的图片就是开头的信息,右键aaaa打开新的链接,发现url地址就是上传的文件名


  1. 本地监听,浏览器再次访问成功得到反弹shell

提权到stinky用户

  1. 来到/home目录下发现两个用户,但是文件都没有权限访问
  1. 只能去网站的配置文件看一看数据库的账密了,试一试是否为了方便用相同的密码
  1. 密码太简单不可能是两个用户的密码,想到扫描得到的phpmyadmin数据库管理系统,尝试使用账密成功登录
  1. 直接查看wordpress数据库,发现用户表中的一个新用户和进行哈希加密的密码
  1. 看来第一个用户就是管理员账号了,使用john进行解密,得到了用户的密码
  1. 再次登录wordpress后台,功能确实变多了,发现主页面有flag2的字样。翻找了一下后台,发现也没有可以利用和提示的信息了。
  1. 尝试使用得到的新密码进行用户切换,发现成功切换到stinky用户。需要先切换到交互式shell

提权到mrderp用户

  1. 得到了stinky用户的权限后,肯定先去看一看目录了,发现没有什么关键文件,查看目录内容发现在ftp目录下发现了一个文件,里面是两个用户的对话,其中提到了要修改密码的事情,而且还借助了流量分析和嗅探。看来流量文件是得到密码的关键了
  1. 再继续进行目录内容的信息收集,在Documents目录下发现了这个流量文件,使用python3开启当前目录的服务器python3 -m http.server 3321,主机使用wget下载该流量文件
  1. 接下来就是misc手的流量分析了,看完文件对话信息后,第一反应就是密码pass关键字,全局搜索一下该字符串,再第三四个的流量包就发现了可疑点,下面的流量包内容给出了pass1 pass2和用户mrderp,看这结构很明显就是新密码和旧密码了,将pass2保存下来
  1. 进行用户切换成功切换到mrderp用户的权限下

提权到root用户

  1. 先查看一下mrderp的目录结构,也没发现特别的文件,查看sudo权限发现了可利用的sudo提权了
  1. 很明显没有这个文件目录,但是有权限可以创建啊,创建目录结构,文件名为derpya,星号是匹配后面所有内容,所以只需要前面的derpy一样就能被匹配到,也就是可以进行sudo提权的文件
  1. 在其中写入反弹shell/bin/bash -p,这两种方式应该都能获得root的权限,给文件赋予执行权限,本地进行监听,使用sudo执行该文件,成功反弹得到rootshell
  1. 来到root的目录下,摸索了一番找到了在桌面目录下的flag4
  1. 不进行本监听,直接使用sudo执行该文件,也能得到root,验证两种方式都可以提权成功

靶机总结

  1. 本次靶机有着四个flag,每个flag可以说是层层递进的,但是可能信息收集还是少了,没有找到第三个flag,至少其他三个flag都处在必经之路上,可能是由于跳过了什么目录或者观察不仔细造成了第三个flag的丢失。但至少也拿到了root权限
  2. 靶机的难度还是很不错的,知识点很多,关联性很强。两次登录wordpress后台,也了解到了wordpress后台上传文件进行getshell的方法这回wordpress后台getshell的方式变成三个了
  3. 本次靶机前期获得权限利用到了wpscan的用户名枚举和密码爆破,wordpress的后台getshell拿到网站用户的权限,毕竟wordpress的利用方式也就如此了,插件漏洞还是挺少用到的。只不过在信息收集阶段查看的目录有点多,没有直接单刀直入wordpress,收集了挺长时间的
  4. 难点也就集中在了用户横向移动上来,用到了四个用户权限,stinky用户是利用到了网站配置文件中获得的数据库账密,在数据库中找到了该用户的密码。找到密码还是要多试一试的,万一就故意设置重复的呢
  5. 切换到mrderp用户,关键是进行流量分析得到的密码,但前期信息收集的工作也不少,要在很多目录中找到提示的文件和流量文件。还有被误导的可能
  6. 切换到root用户难度到下降了,使用sudo提权即可,关键是创建相应的目录文件。应该是为了让知识点更加全面,四个用户的权限获取的方式都各不相同,做起来的感受很不错,收获颇多。
相关推荐
真真-真真27 分钟前
WebXR
linux·运维·服务器
hao_wujing29 分钟前
网络安全攻防演练中的常见计策
安全·web安全
指尖上跳动的旋律40 分钟前
shell脚本定义特殊字符导致执行mysql文件错误的问题
数据库·mysql
轩辰~1 小时前
网络协议入门
linux·服务器·开发语言·网络·arm开发·c++·网络协议
一勺菠萝丶1 小时前
MongoDB 常用操作指南(Docker 环境下)
数据库·mongodb·docker
Mitch3111 小时前
【漏洞复现】CVE-2015-3337 Arbitrary File Reading
elasticsearch·网络安全·docker·漏洞复现
燕雀安知鸿鹄之志哉.1 小时前
攻防世界 web ics-06
网络·经验分享·安全·web安全·网络安全
Mitch3111 小时前
【漏洞复现】CVE-2015-5531 Arbitrary File Reading
web安全·elasticsearch·网络安全·docker·漏洞复现
ccc_9wy1 小时前
暗月红队考核靶场ack123的测试报告[细节](二)
网络安全·暗月ack123·socks5内网代理·mssql漏洞·杀软对抗·制作免杀木马·烂土豆提权
wanhengidc1 小时前
短视频运营行业该如何选择服务器?
运维·服务器