skyler实战渗透笔记（九）—DeRPnStiNK

skyler实战渗透笔记：

笔记是为了记录实战渗透学习过程，分享渗透过程思路与方法。

请注意：

对于所有笔记中复现的终端或服务器，都是自行搭建环境或已获授权渗透的。使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

0x00 前言

0x01 信息收集

0x02 渗透get shell

0x00 前言

描述:

德普先生和臭叔叔是两名系统管理员，他们正在创办自己的公司DerpNStink。他们没有雇佣合格的专业人员来构建他们的IT环境，而是决定打造自己的系统，这个系统几乎已经准备好投入使用了。

产品说明:

这是一个基于boot2root的Ubuntu虚拟机。它在VMware Fusion和VMware Workstation12上进行了测试，网络接口使用DHCP设置。它是为我在OSCP实验室遇到的一些早期机器设计的，也有一些较小的曲线球，但不是太花哨。坚持你的经典黑客方法，并列举所有的事情!

您的目标是远程攻击VM，并找到所有4个标志，最终引导您完全root访问。别忘了再努力一点 

例如:flag1 (AB0BFD73DAAEC7912DCDCA1BA0BA3D05)。不要浪费时间在标志中解密哈希，因为它在挑战中除了一个标识符之外没有任何价值。

0x01 信息收集

老规矩，先找到目标机器：

看下基本的服务端口：

|--21 ftp

|--22 ssh

|--80 httpd

0x02 渗透get shell

一共三个端口，从80开始入手吧：

访问发现是一个图片，两个人：

既然有4个flag需要寻找，那么每访问一个新的页面，都搜一下看看有没有flag吧：

找到第一个，另外在head里发现了一个有用的信息：

大概意思是说：更新本地DNS，这样derpnstink博客就可以在上线前访问，那我们先更新一下host：

再继续找找看：

扫一下目录试试：

dirb http://192.168.245.149

发现了一个weblog目录，访问下试试：

没什么有用的信息，但是发现是基于wordpress的博客。那先扫一下漏洞看看：

wpscan --url derpnstink.local/weblog/ -eu

有个admin的用户，那么弱密码试下：

admin/admin竟然登录进来了：

 研究了半天发现这个用户权限很低，没啥有用的操作。

这边用wpscan扫描了下，发现有可以利用的漏洞：

Slideshow Gallery插件插件可以利用，那么尝试来利用下：

这边利用msf来搞一下，先查查可用的exp：

看下都需要那些参数：

配置参数：

执行：

OK，获取到一个命令执行环境，先去找下配置文件，看看是否有数据库的连接信息：

获取到数据库用户和密码后，先反弹出一个bash命令环境来：

然后直接访问数据库，查询关键信息

发现有两个用户，密码先保存一下：

又到处翻了翻其他的表，在wp-posts表中发现了flag2：

爆破一下两个用户的密码：

OK。获取到了wrodpress的一个用户名密码，登录下试试：

进来了，这次的用户权限要大很多：

也能看到刚才发现的flag2。接下来继续检查搜寻。

发现两个可以登录的用户，ssh和ftp都试试：

手头只有一个可用的密码，就用刚才破解出来的密码试下：wedgie57

OK,成功登录后，翻了翻文件夹，在ssh文件深处找打了私钥：

使用私钥登录：

登录失败，查了查是权限不够，加一下权限再试试：

登录成功后，先检查下文件：

发现了flag3

在document文档发现一个pacp包，下载到本地分析一波：

追踪tcp流，在第37个包找到数据：

发现登录账号密码：

Su切换用户成功：

翻看文件夹，在Desktop目录查看到helpdesk.log，意思是让我们访问helppage：

应该可以使用sudo,查看一些sudo权限：

可以使用binaries目录下的derpy开头的文件，我们自己创建一个这样的脚本：

 创建一个输出id的脚本，使用sudo执行，成功输出root的信息。

之后可以弹shell，可以直接读取最后一个flag：

好吧没成功

直接读取flag：