Mr-Robot: 1靶机
arp-scan -l 扫描靶机IP地址
nmap -sV -Pn -A x.x.x.233
dirb x.x.x.233
扫描出了robots.txt、readme、license.txt等敏感目录
查看robots.txt
访问该文件得到第一个flag
端口渗透(443/https端口服务)
80端口信息收集完毕,可以访问443端口,发现为同样的页面与目录文件;但443端口服务为ssl加密,需要使用https登陆;(且证书过期)
继续访问敏感目录网页:
在fsocity.dic发现一项密码字典:
在/0/文件发现为wordpress登陆页面:
(wpscan 针对wordpress的漏洞扫描工具)
需要用户名密码登陆,联想到刚刚下载的字典文件,okk,直接抓包burp进行爆破:
成功爆破出用户名密码:
elliot // ER28-0652
直接登录后台,修改404页面,设置本地监听,访问404页面后,得到getshell;
登录后台wp-admin、修改404.php内容为php-reverse-shell.php文件的内容,修改ip,port为监听机kali的ip与端口;
访问404.php页面,或者访问不存在的页面,触发php文件;
kali上开启监听本地1234端口
kali成功得到shell !!!
python -c ‘import pty;pty.spawn("/bin/sh")’进入交互模式
在/home/robot目录下发现了第二个key和一个password文件
cat发现读取key没有权限,但是password文件可以成功读取,password文件为MD5加密的一段口令
密码:abcdefghijklmnopqrstuvwxyz
su - robot账户
切换到robot账户,使用刚刚MD5解密后的密码,成功登陆!
cat查看key-2-of-3.txt,得到第二项flag;
使用find命令发现系统上运行的所有SUID可执行文件:
命令:find / -perm -u=s -type f 2>/dev/null
发现nmap命令,于是我们可以使用nmap提权:
nmap --interactive 进入交互界面
!sh
成功提权为root权限,得到第三个key文件!
实验成功!!!!