skyler实战渗透笔记(九)—DeRPnStiNK

skyler实战渗透笔记:

笔记是为了记录实战渗透学习过程,分享渗透过程思路与方法。

请注意:

对于所有笔记中复现的终端或服务器,都是自行搭建环境或已获授权渗透的。使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

0x00 前言

0x01 信息收集

0x02 渗透get shell

 

0x00 前言

描述:

德普先生和臭叔叔是两名系统管理员,他们正在创办自己的公司DerpNStink。他们没有雇佣合格的专业人员来构建他们的IT环境,而是决定打造自己的系统,这个系统几乎已经准备好投入使用了。

产品说明:

这是一个基于boot2root的Ubuntu虚拟机。它在VMware Fusion和VMware Workstation12上进行了测试,网络接口使用DHCP设置。它是为我在OSCP实验室遇到的一些早期机器设计的,也有一些较小的曲线球,但不是太花哨。坚持你的经典黑客方法,并列举所有的事情!

您的目标是远程攻击VM,并找到所有4个标志,最终引导您完全root访问。别忘了再努力一点 

例如:flag1 (AB0BFD73DAAEC7912DCDCA1BA0BA3D05)。不要浪费时间在标志中解密哈希,因为它在挑战中除了一个标识符之外没有任何价值。

 

0x01 信息收集

老规矩,先找到目标机器:

 

看下基本的服务端口:

 

 

|--21 ftp

|--22 ssh

|--80 httpd

0x02 渗透get shell

一共三个端口,从80开始入手吧:

访问发现是一个图片,两个人:

 

 

既然有4个flag需要寻找,那么每访问一个新的页面,都搜一下看看有没有flag吧:

 

 

找到第一个,另外在head里发现了一个有用的信息:

 

 

 

 

大概意思是说:更新本地DNS,这样derpnstink博客就可以在上线前访问,那我们先更新一下host:

再继续找找看:

扫一下目录试试:

dirb http://192.168.245.149

 

 

发现了一个weblog目录,访问下试试:

 

没什么有用的信息,但是发现是基于wordpress的博客。那先扫一下漏洞看看:

wpscan --url derpnstink.local/weblog/ -eu

 

有个admin的用户,那么弱密码试下:

admin/admin竟然登录进来了:

 

 研究了半天发现这个用户权限很低,没啥有用的操作。

这边用wpscan扫描了下,发现有可以利用的漏洞:

 

Slideshow Gallery插件插件可以利用,那么尝试来利用下:

这边利用msf来搞一下,先查查可用的exp:

 

 

看下都需要那些参数:

 

 

配置参数:

 

 

执行:

 

 

OK,获取到一个命令执行环境,先去找下配置文件,看看是否有数据库的连接信息:

 

 

 

 

获取到数据库用户和密码后,先反弹出一个bash命令环境来:

 

然后直接访问数据库,查询关键信息

 

 

 

 

发现有两个用户,密码先保存一下:

又到处翻了翻其他的表,在wp-posts表中发现了flag2:

 

 

爆破一下两个用户的密码:

 

 

OK。获取到了wrodpress的一个用户名密码,登录下试试:

进来了,这次的用户权限要大很多:

 

 

也能看到刚才发现的flag2。接下来继续检查搜寻。

 

 

发现两个可以登录的用户,ssh和ftp都试试:

手头只有一个可用的密码,就用刚才破解出来的密码试下:wedgie57

 

OK,成功登录后,翻了翻文件夹,在ssh文件深处找打了私钥:

 

使用私钥登录:

 

 

登录失败,查了查是权限不够,加一下权限再试试:

 

登录成功后,先检查下文件:

 

发现了flag3

在document文档发现一个pacp包,下载到本地分析一波:

 

追踪tcp流,在第37个包找到数据:

 

发现登录账号密码:

 

Su切换用户成功:

 

翻看文件夹,在Desktop目录查看到helpdesk.log,意思是让我们访问helppage:

 

应该可以使用sudo,查看一些sudo权限:

 

可以使用binaries目录下的derpy开头的文件,我们自己创建一个这样的脚本:

 

 

 创建一个输出id的脚本,使用sudo执行,成功输出root的信息。

之后可以弹shell,可以直接读取最后一个flag:

 

好吧没成功

直接读取flag:

 

posted @ 2021-10-08 22:38  XuepengZ  阅读(71)  评论(0编辑  收藏  举报