DeRPnStiNK靶機滲透實例分析

今天給大家介紹一下DeRPnStiNK靶機滲透實例分析。文章的內容小編覺得不錯，現在給大家分享一下，覺得有需要的朋友可以了解一下，希望對大家有所幫助，下面跟著小編的思路一起來閱讀吧。

DeRPnStiNK靶機滲透

從網上找了DeRPnStiNK靶機作為實驗環境，針對初學者，我們通過這個靶機進行滲透實驗。

網上下載好靶機后，直接通過虛擬機打開進行，網卡配置使用默認的橋接模式就行，這里注意自己的kali攻擊機也必須是橋接模式下，保證與被攻擊服務器之間可正常通信。首先在不確定被攻擊服務器地址的情況下，我們要進行主機發現，查看自己的IP地址為：192.168.50.76，如圖所示：

使用nmap或者netdiscover進行網絡發現，命令如下：nmap –sP192.168.50.0/24（這里的-sP主要進行主機發現，會跳過端口掃描和其他一些檢測）或者netdiscover –r 192.168.50.0/24。發現我們被攻擊服務器的IP地址如圖所示：

在我們找到服務器的IP地址后，使用nmap –A<目標IP>進行掃描，發現開放了21、22、80等端口,如圖所示：        

我們通過瀏覽器可以訪問http服務，觀察里面有什么內容。如下是我們所觀察到的頁面：

在拿到一個不能提供給我們更多信息頁面的時候，我們第一步可以查看頁面源代碼信息，（如果是圖片等內容，我們使用右鍵點擊頁面后不出來查看源代碼信息，我們就使用view-source）：查看頁面源代碼信息，如圖所示，在源代碼種找到一條flag信息：    

  我們在通過其他的訪問找尋更過有用的信息，如圖：

我們通過webnotes/info.txt文件查看到下面一句話：stinky, make sure to update your hosts file with local dns so the new derpnstink blog can be reached before it goes live。這句話說的意思是確保本地的dns更新后，才可訪問derpnstink博客信息。

通過找尋各種路徑發現未能有更好的敏感信息供我們利用，在所提供的目錄和鏈接當中未找到可用信息后，接下來我們可以嘗試進行目錄掃描，利用命令：dirb <目標站點>或者御劍工具進行掃描。在掃描完成后，我們會發現weblog這個敏感路徑。嘗試訪問該路徑，發現域名跳轉如下，利用上面的提示信息，我們嘗試到host文件中添加域名解析。Kali下的host文件在/etc/hosts。 

添加hosts值，如圖所示：

我們在添加完hosts值后訪問weblog目錄，發現可正常訪問。

那么我們接下來要做的是什么呢？通過觀察可以發現這是一個wordpress博客，嘗試通過wordpress默認管理后臺訪問。默認后臺路徑：wp-login.php，在獲取到后臺路徑后，我們一般需要進行弱口令探測。嘗試使用admin/admin進行登錄，發現成功進入后臺。

接下來可以利用wordpress掃描工具，進行漏洞發現，kali下利用wpscan，如圖所示：（注意wpscan掃描時候的路徑）wpscan –url http://derpnstink.local/weblog/

標記出來的版本信息，這里我們應用對應的漏洞信息。在metasploit里會有對應的漏洞利用模塊。我們啟用msfconsole，查找對應的模塊wp_slideshowgallery_upload。使用命令search wp_slideshowgallery_upload。在找到模塊后使用use命令進行加載。如圖所示：

使用options查看配置項，根據自己的目標機器進行配置，如圖所示：

如下，我們獲取到了一個shell：可以對其中的敏感文件進行查看。

注意，在我們在做日常滲透的過程中，發現config等文件必須要去查看里面是否有必要的信息，如圖，我們可以在weblog/wp-config.php中獲取到數據庫用戶名和密碼信息：

我們在通過dirb或者御劍進行目錄掃描的時候會發現php/phpmyadmin路徑。這是php-study的數據庫web后臺。利用我們剛才找到的用戶名密碼進行登錄root/admin。 

在數據庫中我們會發現flag2。以及wp_users中的用戶名密碼hash值。

在kali下集成了好多工具，我們獲取到一串加密的hash值后，嘗試通過hash-identifier來分析它的加密類型。注意，該工具不是破解工具，只是用來判斷加密類型。如圖所示：

使用john進行密碼破解，這里基于的rockyou.txt是kali自帶的。使用wedgie57密碼進行ftp登錄。

通過連接工具，（我用的Mobaxterm，xshell等都可以）通過ftp訪問目標主機。可以找到2個文件：一段對話和一個ssh登錄密鑰文件（在ssh文件夾，名稱為key，肯定是ssh登錄密鑰文件啦）  

利用ssh密鑰進行登錄，我們把密鑰信息保存下來，通過ssh –i進行登錄。如圖所示：

通過ssh連接進入系統后，查看文件就會發現flag.txt。如圖所示：

我們發現另外的一個敏感文件derpissues.pcap數據包文件。可以通過wireshark進行數據包分析，查看里面包含什么信息。

在使用scp進行文件傳輸，具體命令如下：

啟動wireshark直接打開derp.pcap文件。因為包比較多，過濾一下http協議數據包，（這里為什么要過濾http數據包，因為在上述我們找到的對話中發現有可能該用戶進行新的用戶添加，必要登錄weblog/wp-admin。所以嘗試先過濾http協議，通過查看get，post等請求。找提交的信息。我們發現用戶和pwd密碼字段明文顯示：Form item: "pwd" = "derpderpderpderpderpderpderp"。

嘗試通過ssh使用mrderp用戶建立新連接：如圖所示：

我們會在helpdesk.log中查看到一串信息：并發現該問題處理是sudo用戶處理的。所以我們嘗試去使用sudo命令。

通過sudo –l我們查看一下自己所擁有的權限，如圖所示：

即mrderp用戶只能在binaries目錄下執行derpy*文件時使用sudo。所以我們在對應目標目錄下創建binaries文件夾和derpy.sh可執行文件。需要將derpy.sh文件修改為可執行權限，使用sudo執行。提權成功root

查看root用戶文件，找到flag。

以上就是DeRPnStiNK靶機滲透實例分析的全部內容了，更多與DeRPnStiNK靶機滲透實例分析相關的內容可以搜索億速云之前的文章或者瀏覽下面的文章進行學習哈！相信小編會給大家增添更多知識,希望大家能夠支持一下億速云！