skyler實戰滲透筆記(九)—DeRPnStiNK
skyler實戰滲透筆記:
筆記是為了記錄實戰滲透學習過程,分享滲透過程思路與方法。
請注意:
對於所有筆記中復現的終端或伺服器,都是自行搭建環境或已獲授權滲透的。使用的技術僅用於學習教育目的,如果列出的技術用於其他任何目標,我概不負責。
描述:
德普先生和臭叔叔是兩名系統管理員,他們正在創辦自己的公司DerpNStink。他們沒有僱傭合格的專業人員來構建他們的IT環境,而是決定打造自己的系統,這個系統幾乎已經準備好投入使用了。
產品說明:
這是一個基於boot2root的Ubuntu虛擬機器。它在VMware Fusion和VMware Workstation12上進行了測試,網路介面使用DHCP設定。它是為我在OSCP實驗室遇到的一些早期機器設計的,也有一些較小的曲線球,但不是太花哨。堅持你的經典黑客方法,並列舉所有的事情!
您的目標是遠端攻擊VM,並找到所有4個標誌,最終引導您完全root訪問。別忘了再努力一點
例如:flag1 (AB0BFD73DAAEC7912DCDCA1BA0BA3D05)。不要浪費時間在標誌中解密雜湊,因為它在挑戰中除了一個識別符號之外沒有任何價值。
老規矩,先找到目標機器:
看下基本的服務埠:
|--21 ftp
|--22 ssh
|--80 httpd
一共三個埠,從80開始入手吧:
訪問發現是一個圖片,兩個人:
既然有4個flag需要尋找,那麼每訪問一個新的頁面,都搜一下看看有沒有flag吧:
找到第一個,另外在head裡發現了一個有用的資訊:
大概意思是說:更新本地DNS,這樣derpnstink部落格就可以在上線前訪問,那我們先更新一下host:
再繼續找找看:
掃一下目錄試試:
dirb http://192.168.245.149
發現了一個weblog目錄,訪問下試試:
沒什麼有用的資訊,但是發現是基於wordpress的部落格。那先掃一下漏洞看看:
wpscan --url derpnstink.local/weblog/ -eu
有個admin的使用者,那麼弱密碼試下:
admin/admin竟然登入進來了:
研究了半天發現這個使用者許可權很低,沒啥有用的操作。
這邊用wpscan掃描了下,發現有可以利用的漏洞:
Slideshow Gallery外掛外掛可以利用,那麼嘗試來利用下:
這邊利用msf來搞一下,先查查可用的exp:
看下都需要那些引數:
配置引數:
執行:
OK,獲取到一個命令執行環境,先去找下配置檔案,看看是否有資料庫的連線資訊:
獲取到資料庫使用者和密碼後,先反彈出一個bash命令環境來:
然後直接訪問資料庫,查詢關鍵資訊
發現有兩個使用者,密碼先儲存一下:
又到處翻了翻其他的表,在wp-posts表中發現了flag2:
爆破一下兩個使用者的密碼:
OK。獲取到了wrodpress的一個使用者名稱密碼,登入下試試:
進來了,這次的使用者許可權要大很多:
也能看到剛才發現的flag2。接下來繼續檢查搜尋。
發現兩個可以登入的使用者,ssh和ftp都試試:
手頭只有一個可用的密碼,就用剛才破解出來的密碼試下:wedgie57
OK,成功登入後,翻了翻資料夾,在ssh檔案深處找打了私鑰:
使用私鑰登入:
登入失敗,查了查是許可權不夠,加一下許可權再試試:
登入成功後,先檢查下檔案:
發現了flag3
在document文件發現一個pacp包,下載到本地分析一波:
追蹤tcp流,在第37個包找到資料:
發現登入賬號密碼:
Su切換使用者成功:
翻看資料夾,在Desktop目錄檢視到helpdesk.log,意思是讓我們訪問helppage:
應該可以使用sudo,檢視一些sudo許可權:
可以使用binaries目錄下的derpy開頭的檔案,我們自己建立一個這樣的指令碼:
建立一個輸出id的指令碼,使用sudo執行,成功輸出root的資訊。
之後可以彈shell,可以直接讀取最後一個flag:
好吧沒成功
直接讀取flag: