[Vulnhub]渗透-DeRPnStiNK

0x01 Information Collection

首先是主机发现,这里没有用nmap,假设不清楚网段。

可以看到141这个ip有点可疑,nmap扫一波:

分别开了21、22、80端口,访问一下80:

flag1

0x02 WordPress Getshell

看到目标跳转了域名,写入hosts。

首先是目录扫描,可以看到大概是有个wordpress和phpmyadmin:

爆着phpmyadmin的root密码,没出,先来看一下这个wp,wpscan:

然后分别使用参数–enumerate vp、–enumerate vt进行对plugins、theme的漏洞探测,均无结果,但是奇怪的是显示No Plugins Found,目光再次转向爆破。

我们都知道,默认情况下,wp的后台如果username不对的情况下会爆Invaild username,所以先爆破一下username。

确定为admin,再来跑下密码:

密码同样是admin,进后台getshell:

功能非常有限,看了一下没有地方可以getshell…陷入困境了。

不知道为什么wpscan没扫出来。

可以看到有对应的poc,看了下是构造一个包写入backdoor,这里发现msf有对应模块:

拿到shell看了一下wp-config.php

看到这里心都凉了,这个密码没爆出来,可能字典里没有把….

登陆了phpmyadmin

flag2

0x03 Information Collection Again

拿到数据库肯定要再做进一步的信息手机,刚才在shell看到了两个非root用户。

拿出来到john跑,这里注意,fastattack.txt这个字典是跑不出来的,用rockyou.txt。

这里注意数据导出格式user_login:user_pass。

没办法用密码登陆。

0x04 FTP get ssh key

ssh没办法登陆,想到刚才还有ftp服务,使用刚才爆出的密码以及用户名stinky登陆成功。

N层目录之后找到了key:

还有一个txt不知道是什么,一并拿下来:

是一段聊天记录,大概就是两个人之一的mrderp不能登陆wordpress了,他要登陆一次修改一些东西让stinky给他搞一下,然后stinky说用sniffer抓了一段数据,然后给mrderp开了个账户,等mrderp用完就删掉了。顺便还吹嘘了一下刺激是最好的管理团队。

0x05 SSH get pcap

这里注意key的权限,777是登不上的,700是ok的。

flag3

发现了stinky说的用sniffer抓的包。

用scp拷下来分析一下:

0x06 WireShark Analyse Pcap

因为之前的对话说过,主要是想看一下wordpress登陆不上是什么情况,所以这里主要分析一下HTTP包。

看样子账号确实是被删掉了(stinky为mrderp创建的新账号):

追踪了一下流发现这个动作是unclestinky做出的。

接着看分析,注意看下图:

有一个add用户的操作,然后接着就是logut然后再次进行了login,我们关注这个动作:

得到mrderp的密码,尝试ssh登陆:

有一个文本:

看样子是提示是sudo提权。

0x07 Privilge Escalation

要求在~/binaries/下执行derpy*的文件可以使用sudo。

flag4


0x08 Summary

这个同样体现出了信息收集的重要性,从爆破wp后台密码到插件getshell,之后看数据库配置文件获得其他的账号密码,与系统用户及其他服务关联起来从而一步步拿到root。

Leave a Reply

Your email address will not be published. Required fields are marked *

16 + fourteen =