vulnhub_DeRPnStiNK靶机渗透测试

生而逢时2023-11-01 9:16

VulnHub2018_DeRPnStiNK靶机

https://www.vulnhub.com/entry/derpnstink-1,221/

flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)

flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)

flag4(49dca65f362fee401292ed7ada96f96295eab1e589c52e4e66bf4aedda715fdd)

文章目录

信息收集

  1. 使用nmap扫描靶机发现开放了21 22 80端口,全扫描发现21端口没有匿名登录
  1. 使用目录扫描工具扫描一下目录结构,得到了一个wordpress博客目录,PhpMyAdmin的目录

web渗透

  1. 使用的dirb扫描的发现更加全面一点,使用f12查看了页面源代码发现有一个深层套娃的flag1,还有一个目录
  1. 访问目录内容提示需要修改host文件,应该是有域名的
  1. 访问weblog发现url地址变了,前面直接变成域名了,没想到访问直接给出来了,修改host文件
  1. wordpress的框架,肯定就是对后台登录的利用了,先查看一下,后台登录地址可以正常访问,使用wpscan进行用户名枚举得到admin用户
  1. 对目录进行信息收集并没有密码的线索,只能尝试爆破一下了,没想到密码就是admin
  1. 登录后台之后,发现功能很少,证明该用户权限不高

获取权限

  1. 探索一下给出的功能,发现编写信息可以上传文件,而且还没有限制,直接上传反弹shell的文件
  1. 根据其他信息的比对,猜测上传的图片就是开头的信息,右键aaaa打开新的链接,发现url地址就是上传的文件名


  1. 本地监听,浏览器再次访问成功得到反弹shell

提权到stinky用户

  1. 来到/home目录下发现两个用户,但是文件都没有权限访问
  1. 只能去网站的配置文件看一看数据库的账密了,试一试是否为了方便用相同的密码
  1. 密码太简单不可能是两个用户的密码,想到扫描得到的phpmyadmin数据库管理系统,尝试使用账密成功登录
  1. 直接查看wordpress数据库,发现用户表中的一个新用户和进行哈希加密的密码
  1. 看来第一个用户就是管理员账号了,使用john进行解密,得到了用户的密码
  1. 再次登录wordpress后台,功能确实变多了,发现主页面有flag2的字样。翻找了一下后台,发现也没有可以利用和提示的信息了。
  1. 尝试使用得到的新密码进行用户切换,发现成功切换到stinky用户。需要先切换到交互式shell

提权到mrderp用户

  1. 得到了stinky用户的权限后,肯定先去看一看目录了,发现没有什么关键文件,查看目录内容发现在ftp目录下发现了一个文件,里面是两个用户的对话,其中提到了要修改密码的事情,而且还借助了流量分析和嗅探。看来流量文件是得到密码的关键了
  1. 再继续进行目录内容的信息收集,在Documents目录下发现了这个流量文件,使用python3开启当前目录的服务器python3 -m http.server 3321,主机使用wget下载该流量文件
  1. 接下来就是misc手的流量分析了,看完文件对话信息后,第一反应就是密码pass关键字,全局搜索一下该字符串,再第三四个的流量包就发现了可疑点,下面的流量包内容给出了pass1 pass2和用户mrderp,看这结构很明显就是新密码和旧密码了,将pass2保存下来
  1. 进行用户切换成功切换到mrderp用户的权限下

提权到root用户

  1. 先查看一下mrderp的目录结构,也没发现特别的文件,查看sudo权限发现了可利用的sudo提权了
  1. 很明显没有这个文件目录,但是有权限可以创建啊,创建目录结构,文件名为derpya,星号是匹配后面所有内容,所以只需要前面的derpy一样就能被匹配到,也就是可以进行sudo提权的文件
  1. 在其中写入反弹shell/bin/bash -p,这两种方式应该都能获得root的权限,给文件赋予执行权限,本地进行监听,使用sudo执行该文件,成功反弹得到rootshell
  1. 来到root的目录下,摸索了一番找到了在桌面目录下的flag4
  1. 不进行本监听,直接使用sudo执行该文件,也能得到root,验证两种方式都可以提权成功

靶机总结

  1. 本次靶机有着四个flag,每个flag可以说是层层递进的,但是可能信息收集还是少了,没有找到第三个flag,至少其他三个flag都处在必经之路上,可能是由于跳过了什么目录或者观察不仔细造成了第三个flag的丢失。但至少也拿到了root权限
  2. 靶机的难度还是很不错的,知识点很多,关联性很强。两次登录wordpress后台,也了解到了wordpress后台上传文件进行getshell的方法这回wordpress后台getshell的方式变成三个了
  3. 本次靶机前期获得权限利用到了wpscan的用户名枚举和密码爆破,wordpress的后台getshell拿到网站用户的权限,毕竟wordpress的利用方式也就如此了,插件漏洞还是挺少用到的。只不过在信息收集阶段查看的目录有点多,没有直接单刀直入wordpress,收集了挺长时间的
  4. 难点也就集中在了用户横向移动上来,用到了四个用户权限,stinky用户是利用到了网站配置文件中获得的数据库账密,在数据库中找到了该用户的密码。找到密码还是要多试一试的,万一就故意设置重复的呢
  5. 切换到mrderp用户,关键是进行流量分析得到的密码,但前期信息收集的工作也不少,要在很多目录中找到提示的文件和流量文件。还有被误导的可能
  6. 切换到root用户难度到下降了,使用sudo提权即可,关键是创建相应的目录文件。应该是为了让知识点更加全面,四个用户的权限获取的方式都各不相同,做起来的感受很不错,收获颇多。
相关推荐
用户805533698031 小时前
主线 U-Boot 上 RK3506:和闭源 rkbin 拔河的三个隐性契约
linux·嵌入式
用户034095297911 小时前
linux fcitx 5 雾凇拼音 设置在中文输入法下仍然输入英文标点
linux
Databend18 小时前
在 AWS 中国峰会逛了一天,我在 Databend 展台看到了 Agent 数据基础设施的新思路
数据库·人工智能·agent
Web3探索者2 天前
可视化服务器管理和传统命令行区别是什么?新手教程:Linux 运维到底该用图形界面还是 SSH 命令行?
linux·ssh
zylyehuo2 天前
Linux系统中网线与USB网络共享冲突
linux
ClouGence2 天前
Oracle 数据同步为什么会出现数据不一致?长事务是常被忽略的原因
数据库·后端·oracle
飞将2 天前
从零实现数据库(2)——HashIndex + IndexManager
数据库
Nturmoils3 天前
订单列表慢查询,先看 WHERE、ORDER BY 和 LIMIT
数据库
Sokach10153 天前
Linux Shell 脚本从零到能用:一个新手的一天学习总结
linux
渣波3 天前
拒绝 SQL 焦虑!手把手带你用 NestJS + Prisma + DTO 写出“防弹”级后端代码
javascript·数据库·后端
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04【AI】2026 年具身智能模型和世界模型总结05Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析06【AI总结】2026年6月 主流国内外大模型总结07飞书长连接_事件订阅(接收消息,审批任务状态变更)08GitHub 镜像站点09Trae国际版与国内版深度测评:AI原生IDE的双生花10AI科技热点日报 | 2026年6月1日