Mr-Root靶机
信息收集
- 使用nmap扫描得到靶机开放22,80和443端口,其中显示22端口是关闭的,而且还有一个域名提示
- 使用dirsearch扫描目录,发现了很多,其中robots.txt和wp备受瞩目
web渗透
- 访问网站,发现界面还挺高级的,看似能执行命令的终端,但是能使用的命令很特别
- 访问rotbots.txt文件,发现两个文件,一个里面存放着key,看这命名应该是还有两个,不清楚用途,应该是要解密的,看着像是hash
- 访问另外一个文件发现是一个字典
- 使用wget将字典下载下来
- 发现这个字典内容有点多,尝试去重,只有11451行数据
- 又去访问量其他页面,很多都提示没有该页面,就只有wp登录界面可以访问了,使用wpscan枚举一下登录的用户名,但是没有可以登录的
- 这时候反应过来,那个给的字典不会就是包含用户名和密码吧,尝试爆破登录,但是发现同时爆破用户名和密码负担有点大,就先进性爆破用户名,由于wordpress特性,用户名存在和不存在会返回两个界面,直接使用burp进行爆破,得到用户
elliot
- 接下来又使用这个字典,进行爆破密码得到账密
- 中间也有尝试搜索wordpress版本漏洞,是否存在远程命令执行,发现没有可以利用的
获取权限
- 登陆到wp的后台,发现熟悉的模板模块,在之前靶机有利用wp模板进行反弹shell,前去寻找到404页面,在里面添加反弹shell的php代码
- 随意访问一个不存在的目录,kali主机进行监听成功返回shell
权限提升
- 发现当前用户竟然不是www,照常查看sudo权限,计划任务等信息
- 查看suid权限的时候发现了熟悉的朋友,nmap,之前也有利用nmap进行suid提权
- nmap进行suid提权有两个方式,一个是老版本适用的,一个应该就是通用的nmap提权几种方式_1winner的博客-CSDN博客
- 之前是使用第二个成功提权的,但是本次靶机执行之后发现没有–script参数,看来是版本影响了
- 值得一提的是,直接执行nmap会显示错误,查看环境变量后发现是由于nmap所在路径不在环境变量中,所以就一直使用绝对路径来使用了
- 使用第一种提权方式,返回交互式nmap的shell,输入
!sh
成功提权,前去root目录下发现了key3文件
- 之前发现robot目录是root所属,多半key2就存放在那里了,前去访问获取了key2。3个key文件全部得到
靶机总结
- 扫描到很多目录,不能嫌烦,确定好优先级访问,robots.txt里面总会隐藏比较关键的内容
- 靶机给了字典文件,那多半账号和密码就会在这个文件中给出了,就只进行暴力破解
- 下载下来的字典,可以查看长度,尝试去重操作,wc/sort -u
- wp后台如果有存放模板功能,寻找到404页面,写入反弹shell代码,轻松获取shell
- suid的nmap提权的两种方式第一个版本限制,第二个参数限制(也可以说版本限制)