vulnhub_DeRPnStiNK靶机渗透测试

news2024/11/15 15:25:16

VulnHub2018_DeRPnStiNK靶机

https://www.vulnhub.com/entry/derpnstink-1,221/

flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)

flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)

flag4(49dca65f362fee401292ed7ada96f96295eab1e589c52e4e66bf4aedda715fdd)

文章目录

      • VulnHub2018_DeRPnStiNK靶机
      • 信息收集
      • web渗透
      • 获取权限
      • 提权到stinky用户
      • 提权到mrderp用户
      • 提权到root用户
      • 靶机总结

在这里插入图片描述

信息收集

  1. 使用nmap扫描靶机发现开放了21 22 80端口,全扫描发现21端口没有匿名登录

image-20231028120626715

image-20231028120642395

  1. 使用目录扫描工具扫描一下目录结构,得到了一个wordpress博客目录,PhpMyAdmin的目录

image-20231028120703583

image-20231028120707786

web渗透

  1. 使用的dirb扫描的发现更加全面一点,使用f12查看了页面源代码发现有一个深层套娃的flag1,还有一个目录

image-20231028120944689

image-20231028120924020

  1. 访问目录内容提示需要修改host文件,应该是有域名的

image-20231028121010901

  1. 访问weblog发现url地址变了,前面直接变成域名了,没想到访问直接给出来了,修改host文件

image-20231028121111880

image-20231028121116122

  1. wordpress的框架,肯定就是对后台登录的利用了,先查看一下,后台登录地址可以正常访问,使用wpscan进行用户名枚举得到admin用户

image-20231028121225985

image-20231028121231947

  1. 对目录进行信息收集并没有密码的线索,只能尝试爆破一下了,没想到密码就是admin

image-20231028121332108

image-20231028121335042

  1. 登录后台之后,发现功能很少,证明该用户权限不高

image-20231028121419728

获取权限

  1. 探索一下给出的功能,发现编写信息可以上传文件,而且还没有限制,直接上传反弹shell的文件

image-20231028121539405

  1. 根据其他信息的比对,猜测上传的图片就是开头的信息,右键aaaa打开新的链接,发现url地址就是上传的文件名

image-20231028121555751

image-20231028121552116

image-20231028121707962

  1. 本地监听,浏览器再次访问成功得到反弹shell

image-20231028121756080

提权到stinky用户

  1. 来到/home目录下发现两个用户,但是文件都没有权限访问

image-20231028121915266

  1. 只能去网站的配置文件看一看数据库的账密了,试一试是否为了方便用相同的密码

image-20231028121957793

  1. 密码太简单不可能是两个用户的密码,想到扫描得到的phpmyadmin数据库管理系统,尝试使用账密成功登录

image-20231028122122964

  1. 直接查看wordpress数据库,发现用户表中的一个新用户和进行哈希加密的密码

image-20231028122226011

  1. 看来第一个用户就是管理员账号了,使用john进行解密,得到了用户的密码

image-20231028122313278

image-20231028122319034

  1. 再次登录wordpress后台,功能确实变多了,发现主页面有flag2的字样。翻找了一下后台,发现也没有可以利用和提示的信息了。

image-20231028122413904

image-20231028122416946

  1. 尝试使用得到的新密码进行用户切换,发现成功切换到stinky用户。需要先切换到交互式shell

image-20231028122544581

提权到mrderp用户

  1. 得到了stinky用户的权限后,肯定先去看一看目录了,发现没有什么关键文件,查看目录内容发现在ftp目录下发现了一个文件,里面是两个用户的对话,其中提到了要修改密码的事情,而且还借助了流量分析和嗅探。看来流量文件是得到密码的关键了

image-20231028122850388

  1. 再继续进行目录内容的信息收集,在Documents目录下发现了这个流量文件,使用python3开启当前目录的服务器python3 -m http.server 3321,主机使用wget下载该流量文件

image-20231028122936458

image-20231028123036747

image-20231028123040340

  1. 接下来就是misc手的流量分析了,看完文件对话信息后,第一反应就是密码pass关键字,全局搜索一下该字符串,再第三四个的流量包就发现了可疑点,下面的流量包内容给出了pass1 pass2和用户mrderp,看这结构很明显就是新密码和旧密码了,将pass2保存下来

image-20231028123204486

image-20231028123225395

  1. 进行用户切换成功切换到mrderp用户的权限下

提权到root用户

  1. 先查看一下mrderp的目录结构,也没发现特别的文件,查看sudo权限发现了可利用的sudo提权了

image-20231028123626601

  1. 很明显没有这个文件目录,但是有权限可以创建啊,创建目录结构,文件名为derpya,星号是匹配后面所有内容,所以只需要前面的derpy一样就能被匹配到,也就是可以进行sudo提权的文件

image-20231028123710215

  1. 在其中写入反弹shell/bin/bash -p,这两种方式应该都能获得root的权限,给文件赋予执行权限,本地进行监听,使用sudo执行该文件,成功反弹得到rootshell

image-20231028123908214

image-20231028123958202

  1. 来到root的目录下,摸索了一番找到了在桌面目录下的flag4

image-20231028124034811

  1. 不进行本监听,直接使用sudo执行该文件,也能得到root,验证两种方式都可以提权成功

image-20231028124052411

靶机总结

  1. 本次靶机有着四个flag,每个flag可以说是层层递进的,但是可能信息收集还是少了,没有找到第三个flag,至少其他三个flag都处在必经之路上,可能是由于跳过了什么目录或者观察不仔细造成了第三个flag的丢失。但至少也拿到了root权限
  2. 靶机的难度还是很不错的,知识点很多,关联性很强。两次登录wordpress后台,也了解到了wordpress后台上传文件进行getshell的方法这回wordpress后台getshell的方式变成三个了
  3. 本次靶机前期获得权限利用到了wpscan的用户名枚举和密码爆破,wordpress的后台getshell拿到网站用户的权限,毕竟wordpress的利用方式也就如此了,插件漏洞还是挺少用到的。只不过在信息收集阶段查看的目录有点多,没有直接单刀直入wordpress,收集了挺长时间的
  4. 难点也就集中在了用户横向移动上来,用到了四个用户权限,stinky用户是利用到了网站配置文件中获得的数据库账密,在数据库中找到了该用户的密码。找到密码还是要多试一试的,万一就故意设置重复的呢
  5. 切换到mrderp用户,关键是进行流量分析得到的密码,但前期信息收集的工作也不少,要在很多目录中找到提示的文件和流量文件。还有被误导的可能
  6. 切换到root用户难度到下降了,使用sudo提权即可,关键是创建相应的目录文件。应该是为了让知识点更加全面,四个用户的权限获取的方式都各不相同,做起来的感受很不错,收获颇多。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1143547.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

人工智能基础_机器学习006_有监督机器学习_正规方程的公式推导_最小二乘法_凸函数的判定---人工智能工作笔记0046

我们来看一下公式的推导这部分比较难一些, 首先要记住公式,这个公式,不用自己理解,知道怎么用就行, 比如这个(mA)T 这个转置的关系要知道 然后我们看这个符号就是求X的导数,X导数的转置除以X的导数,就得到单位矩阵, 可以看到下面也是,各种X的导数,然后计算,得到对应的矩阵结…

ADI模数转换AD7091的SPI驱动接口verilog,代码/视频

名称:ADI模数转换AD7091的SPI驱动 软件:QuartusII 语言:Verilog 代码功能: 完成ADI单通道模数转换器AD7091R的逻辑接口设计。1 MSPS、超低功耗、12-Bit ADC (1)实现全部逻辑接口功能,完成对…

云端代码编辑器Atheos

什么是 Atheos ? Atheos是一个基于 Web 的 IDE 框架,占用空间小且要求最低,构建于 Codiad 之上,不过 Atheos 已从原始 Codiad 项目完全重写,以利用更现代的工具、更简洁的代码和更广泛的功能。 注意事项 群晖内核版本太…

系列二十、循环依赖(二)

一、请解释下Spring的三级缓存 所谓Spring的三级缓存是Spring内部解决循环依赖的三个Map,即DefaultSingletonBeanRegistry中的三个Map。 二、A、B两对象在三级缓存中的迁移过程 第一步:A创建过程中需要B,于是A将自己放到三级缓存里面&#x…

ubuntu安装nps客户端

Ubuntu安装nps客户端 1.什么是nps内网穿透?2.设备情况3.下载客户端3.链接服务端3.1、无配置文件模式3.2、注册到系统服务(启动启动、监控进程) 1.什么是nps内网穿透? nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发…

vue笔记(三)

15、过滤器 过滤器 用法:对要显示的数据进行特定格式化后再显示(用于一个简单的逻辑处理)语法 1、注册过滤器:Vue.fillter(name,callback) (全局)或 new Vue{filters:{}}(局部&…

Ubuntu20运行SegNeXt代码提取道路水体(四)——成功解决训练与推理自己的数据集iou为0的问题!!

在我的这篇博文里Ubuntu20运行SegNeXt代码提取道路水体(三)——SegNeXt训练与推理自己的数据集 经过一系列配置后 iou算出来是0 经过多次尝试后 终于让我试出来了正确配置方法! 具体的配置细节请查看这篇文章 1、在mmseg/datasets下面对数据集进行初始定义 我新建…

使用baostock获取上市公司情况

起因是有个不知道什么专业的同学问了我一题 cs: import baostock as bs import pandas as pd import datetime 日线指标参数包括:date,code,open,high,low,close,preclose,volume,amount,adjustflag,turn,tradestatus,pctChg,peTTM,pbMRQ,psTTM,pcfNcfTTM,isST 周…

CompletableFuture的理解

CompletableFuture 是 JDK1.8 里面引入的一个基于事件驱动的异步回调类。简单来说,就是当使用异步线程去执行一个任务的时候,我们希望在任务结束以后触发一个后续的动作。而 CompletableFuture 就可以实现这个功能。 业务问题 举个简单的例子&#xff0…

最长公共子序列(LCS)与最长上升子序列(LIS)问题的相互转换

在此只做直观理解,不做严格证明 参考:LCS 问题与 LIS 问题的相互关系,以及 LIS 问题的最优解证明 LCS转LIS LCS转LIS只能对特殊情况适用。即当LCS中两个数组有一个不存在重复元素的情况下才能进行转换。 我们以一个例子进行说明&#xff0c…

leetCode 76. 最小覆盖子串 + 滑动窗口 + 哈希Hash

我的往期文章:此题的其他解法,感兴趣的话可以移步看一下: leetCode 76. 最小覆盖子串 滑动窗口 图解(详细)-CSDN博客https://blog.csdn.net/weixin_41987016/article/details/134042115?spm1001.2014.3001.5501 力…

XJ+Nreal 高精度地图+Nreal眼镜SDK到发布APK至眼镜中

仅支持Anroid平台 Nreal套装自带的计算单元,其实也是⼀个没有显示器的Android设备 新建unity⼯程,将⼯程切换Android平台。 正在上传…重新上传取消正在上传…重新上传取消 Cloud XDK Unity User Manual for Nreal ARGlasses 该XDK是针对 NReal AR 眼镜…

mysql源码安装

Linux环境 1、mysql下载地址:https://dev.mysql.com/downloads/mysql/5.7.html#downloads 下载参考: 2、把下载的 MySQL 压缩包上传到 Linux 服务器 3、解压mysql-5.7.39-linux-glibc2.12-x86_64.tar.gz tar -zxvf mysql-5.7.39-linux-glibc2.12-x86…

【UE】Rider编辑器错误 .NET SDK 的版本 6.0300 至少需要 MBuild 的 17.00 版本,当前可用的 MSuld 版本

异常:.NET SDK 的版本 6.0300 至少需要 MBuild 的 17.00 版本,当前可用的 MSuld 版本为 16.1.2.50704请在 global.json 中指定的 .NET SDK 更为需要当前可用的 MSBuld 版本的版本 解决 切换当前使用的MBuild版本 File->Settings…打开设置窗口 找到…

基于web和mysql的图书管理系统

系统分为用户端和管理员端 用户端功能如下 登陆注册数据一栏个人信息修改个人信息修改密码图书查询借阅信息借阅状态安全退出 管理员端功能如下 登录个人信息修改个人信息修改密码读者管理书籍管理借阅管理借阅状态安全退出 用户 管理员 源码下载地址 支持:远程…

javaswing/gui+mysql的学生信息管理系统

使用了Java Swing作为前端界面的开发工具,而 MySQL 作为后端数据库管理系统。这个系统主要用于学生信息的管理,包括班级和学生的增删改查操作。 在系统开发过程中,首先设计了数据库表结构,包括班级表和学生表,并定义了…

损失函数总结(九):SoftMarginLoss、MultiLabelSoftMarginLoss

损失函数总结(九):SoftMarginLoss、MultiLabelSoftMarginLoss 1 引言2 损失函数2.1 SoftMarginLoss2.2 MultiLabelSoftMarginLoss 3 总结 1 引言 在前面的文章中已经介绍了介绍了一系列损失函数 (L1Loss、MSELoss、BCELoss、CrossEntropyLos…

NCCL后端

"NCCL" 代表 "NVIDIA Collective Communications Library","NVIDIA 集体通信库",它是一种由 NVIDIA 开发的用于高性能计算的通信库。NCCL 专门设计用于加速 GPU 群集之间的通信,以便在并行计算和深度学习等领域…

智能直播,助力新营销战场 !降本增效,新消费市场唾手可得

在当今竞争激烈的全球商业环境中,企业们迫切需要降低成本、提高效率,物联网(IoT:Internet of Things)的快速崛起为企业提供了全新的增长动力。它直接改变了人们的生活方式,其中最突出的表现就是网购&#x…

每日一题 2558. 从数量最多的堆取走礼物(简单,heapq)

怎么这么多天都是简单题,不多说了 class Solution:def pickGifts(self, gifts: List[int], k: int) -> int:gifts [-gift for gift in gifts]heapify(gifts)for i in range(k):heappush(gifts, -int(sqrt(-heappop(gifts))))return -sum(gifts)