渗透测试之DeRPnStiNK
端口扫描:
80端口开放,且存在robots.txt文件。
存在ftp服务器和ssh服务器。可以尝试**或者搜索exploit库看是否存在相关漏洞。
对web服务进行扫描:
应该存在phpmyadmin和wp两个程序。
先查看首页,获取到flag1:
之后使用弱口令尝试phpmyadmin失败。
还是使用wpscan扫描wordpress,发现两个用户
之前一直纠结unclestinky,以为会存在弱口令,结果万万没想到,admin存在弱口令:
论一个好字典的重要性。我的弱口令1000里面居然没有admin,我佛了。
另外在侦查过程中查看源代码,发现可能存在后门:
而且通过查看其中一个后门,返回结果很像是msf的php类型shell。但是不是自己留的,不能反弹shell出来。说明在后台可能有个地方可以留后门。
登录admin找到这个留后门的地方:
通过后门成功获取meterpreter:
读取mysql配置,获取flag2:
然后在user表找到用户uncletinky的hash:首先分析一波:
利用john集合rockyou字典成功解出hash:
尝试ssh登录:
之前通过meterpreter收集一波信息:
禁止登录,嗯。。。。
不急之前扫端口,发现还有个ftp,试试:
成功登录。最后翻文件夹,在ssh文件深入找到了私钥:
使用私钥登录:
获取flag3:
在document文档发现一个pacp包,下载到本地分析一波:
追踪tcp流,在第37个包找到数据:
发现登录账号密码:
Su切换用户成功:
+
翻看文件夹,在Desktop目录查看到helpdesk.log:
应该可以使用sudo,查看一些sudo权限:
可以使用binaries目录下的derpy开头的文件,我们自己创建一个这样的脚本:
创建一个输出id的脚本,使用sudo执行,成功输出root的信息。
之后可以弹shell,可以直接读取最后一个flag:
嗯。。。。弹不出来。。。
直接读取flag: