Robot协议弱密码登录后台

最新推荐文章于 2024-07-22 14:34:25 发布
最新推荐文章于 2024-07-22 14:34:25 发布
阅读量283 收藏
点赞数
分类专栏: 网络安全 文章标签: 搜索引擎 百度 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45730532/article/details/129144022
版权

Robot协议弱密码登录后台

  • 定义:robots文件是一个.txt纯文本文件。在这个文件中网站管理者可以声明该网站中不想被robots访问的部分,或者指定搜索引擎只收录指定的内容。因此,robots的优化会直接影响到搜索引擎对网站的收录情况。
  • 渗透测试的步骤:
  1. 第一步
    查看机器的ip地址eg:10.168.1.x
  2. 第二步
    用nmap扫描服务器 扫描端口观察是否有对应的漏洞可以利用
    Nmap -sP x.x.x.x (发现主机)
    Nmap -A x.x.x.x(扫描可以利用的端口)
    如果有80端口或者有22端口观察是否可以利用
    80端口可用dirb扫描目录观察是否有相应的路径
    如果有字典或者有.txt文件时可以拷贝或下载下来观察是否有有效的数据
    扫描结果:
    图片:

在这里插入图片描述

在这里插入图片描述

80端口 dirb扫描目录 观察是否有相应的路径观察有对应的目录

在这里插入图片描述

其中有login 可以登录后台,有爬虫协议robots
在这里插入图片描述

观察robots文件可以发现其中有一个字典文件和一个flag文件
在这里插入图片描述

直接通过url对应的目录文件可以获取第一个flag
在这里插入图片描述
在这里插入图片描述

下载后可以看见是一串用户名和密码,并且有重复的字样
用sort方法去重
Sort -u fsocity.dic > dic.txt
如果有login登录页面可以尝试用暴力破解的方式登录
设置burp(kali打开burp设置代理)
在这里插入图片描述

对获取的字典进行暴力破解
用Burp可以爆破
使用方法:

  1. 抓包 ,Burpsuite-interuder模块在这里插入图片描述

  2. 点击一个

  3. 设置变量

  4. 设置载荷
    在这里插入图片描述

  5. Run

  6. 查看结果,观察数据长度的变化
    在这里插入图片描述

账号:elliot
在这里插入图片描述

密码:ER28-0652
4.第四步,登录后台,编辑404页面
在这里插入图片描述
保存
在这里插入图片描述

5.第五步
kali监听端口
nc -lvvp 端口号

开始监听端口(4444)
反弹shell
在这里插入图片描述
 第七步
改成可交互式页面
python -c ‘import pty; pty.spawn(“/bin/bash”)’
在这里插入图片描述

查找flag
在这里插入图片描述

发现权限不够

 第八步提高访问权限
发现有md5加密(百度一下MD5破解)
在这里插入图片描述

补充 (提高权限(suid))

  1. 查看具有suid的二进制可执行文件:find / -user root -perm -4000 -print 2>/dev/null
  2. 已知的可用来提取的linux可执行文件列表:nmap vim find bash more less nano cp
  3. Eg:nmap进入可交互模式(2.02-5.21):nmap --interactive
  4. 提权操作:!sh

在这里插入图片描述
在这里插入图片描述

最后一个flag

在这里插入图片描述

偶尔微微一笑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MR.robot
qingjie0ng的博客
12-31 954
前言:看过了MR.robot这部电视剧,感觉作为一名网络义警是一件很酷的事情。随便学习一下信息收集、枚举、Linux提权(大佬勿喷)。场景中使用的工具可以按个人习惯来替换操作 安装: 下载链接:Mr-Robot: 1 ~ VulnHub tryhackme:TryHackMe | Mr Robot CTF 直接导入虚拟机镜像(注意与攻击机的网段,因为部署在内网中,要清楚自己搭建的网段) 测试步骤 nmap扫描网段存活主机与端口(根据自己要收集的需求使用nmap命令;个人小建议:nat网络适配
Robot Framework robot命令
测试开发小记
01-12 4029
Robot Framework robot命令选项参数的用法
配置或学习记录 - Web安全漏洞问题解决方案参考
Bingo冲冲冲
10-17 8714
下面是由AppScan测试工具所扫描出的一些Web安全漏洞,将解决方案记录在此。(应用使用了Nginx作为反向代理服务器,本文的解决方案都是基于Nginx配置的) 安全漏洞清单: 解决方案(以下涉及的配置文件指Nginx服务器的配置文件nginx.conf): 1.加密会话(SSL)Cookie中缺少Secure属性 2.检测到密码套件:不支持完全前向保密、密码套件-ROBOT 攻击: 服务器支持易受攻击的密码套件、检测到SHA-1密码套件(这里前端请求使用的是https,http请求请忽略) 3
检测到密码套件:不支持完全前向保密
weixin_41645232的博客
03-31 4528
服务器支持以下较密码套件: ID 名称 SSL 版本 47 TLS_RSA_WITH_AES_128_CBC_SHA TLS 1.2 53 TLS_RSA_WITH_AES_256_CBC_SHA TLS 1.2 60 TLS_RSA_WITH_AES_128_CBC_SHA256 TLS 1.2 61 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS 1.2 156 TLS_RSA_WITH_AES_128_GCM_SHA256 TLS 1.2 157 TLS_RSA_WITH_
Nignx的修改密码套件
一杯咖啡的渗透记忆
06-09 4619
目录 1. 各协议对应的密码套件名称: 2. Nmap &Sslscan查询密码套件 3. Nigx修改密码套件 1. MD5、DES和CBC_SHA类型修改 2. 限制很多的特定类型密码套件 4. Windows Server系统的协议修改 1. 各协议对应的密码套件名称: 以下列表给出了相关规范中的 SSL 或 TLS 密码套件名称及其 OpenSSL 等效项。应该注意的是,一些密码套件名称不包括使用的身份验证,例如 DES-CBC3-SHA。...
RobotFramework 自动化测试实战基础篇
weixin_45014379的博客
10-08 283
RobotFramework 不是一个测试工具,准确来说,它是一个自动化测试框架,或者说它是一个自动化测试平台。
JavaWeb | HTTP 协议请求与响应格式
1226
05-27 4183
一、HTTP 是什么 计算机网络核心概念:网络协议 网络协议种类非常多,其中一些耳熟能详的,IP,TCP,UD… 其中还有一个应用非常广泛的协议HTTP,HTTP 协议大概率是咱们日后开发中用的最多的协议 HTTP : (全称为 “超文本传输协议”) 是一种应用非常广泛的 应用层协议 HTTP 处于 TCP / IP 五层协议栈的应用层 HTTP 在传输层是基于TCP的 (不够严谨,HTTP/1,HTTP/2 是基于TCP,最新版本是 HTTP/3 是基于 UDP,但是当下互联网上绝大部分使用的 HTTP
Springboot中使用Robot及Websocket实现windows远程桌面控制
冰之杍的博客
01-22 5006
Springboot及Websocket实现windows远程桌面控制一、背景说明二、实现过程1.先进行Robot类进行截图的单元测试2.新建一个springboot工程,并添加websocket支持3.在springboot工程启动时开启定时任务进行截图抓取任务的启动4.RobotService类中进行截图任务代码编写5.MyWebSocketHandler中进行客户端键盘事件的处理6.前端代码的实现三、效果演示 一、背景说明 最近在一个项目中用到了通过Web进行windows远程桌面访问的功能,使用了
【Jenkins+RF】从零搭建Jenkins+Robot Framework持续集成环境
weixin_37124805的博客
04-09 3995
转自:https://www.jianshu.com/p/ef8d3109ac5f 感恩 目录 安装Jenkins 安装JDK 安装Jenkins 配置Jenkins 关闭/重启Jenkins 安装插件 配置Slave 创建Slave 启动Slave 配置 Job General 源码管理 构建触发器 构建 构建后操作 配置Jenkins邮件通知 安装Je...
php截取后台登陆密码的代码
12-19
标题中的“php截取后台登陆密码的代码”指的是在PHP环境下,通过编程手段截取登录过程中用户输入的用户名和密码。这段代码展示了如何利用PHP来记录用户的登录信息,包括用户名、密码、以及登录时的IP地址和当前时间...
vscode编写RobotFramework
08-18
vscode 编写 RobotFramework 详解 Vscode 是一个功能强大且广泛使用的代码编辑器,而 RobotFramework 是一个流行的自动化测试框架。本文将指导读者如何使用 Vscode 编写 RobotFramework 项目,包括安装 Vscode、...
sankyo robot 说明书
09-01
Sankyo Robot SP6500说明书 Sankyo Robot SP6500是一款工业机器人,主要用于玻璃搬送应用程序。该机器人配备了SP6500控制系统,具有高精度和高可靠性的特点。下面是该机器人的详细信息和技术特点: 控制系统 SP...
RobotFramework-DatabaseLibrary.rar_robotframework
07-14
**Robot Framework介绍** Robot Framework是一种开源自动化测试框架,它提供了高度可扩展的通用测试库,支持多种应用领域的自动化测试,包括但不限于软件测试、系统集成、API测试、UI测试等。Robot Framework采用...
ReadAgent,一款具有要点记忆的人工智能阅读代理
最新发布
人工智能讲师分享前沿技术
07-22 1283
ReadAgent的工作流程,包括分页、主旨压缩和交互式查找Figure 1展示了 ReadAgent 的工作流程,这是一个模仿人类阅读习惯设计的系统,旨在有效处理和理解长文本。分页(Episode Pagination):系统将长文本分解为一系列较小的、逻辑上连贯的文本块,即“剧集”,类似于将一本书分成多个章节。要点压缩(Gisting):对每个文本块进行压缩,提取其核心要点,形成简洁的要点记忆,这有助于快速把握文本的主旨。交互式查找(Interactive Look-Up)
爬取百度图片,想爬谁就爬谁
冻冰粉星的博客
07-18 1032
既然是做爬虫,那么肯定就会有一些小心思,比如很久很久以前的梦中女/男神早已不见踪影,那咱就去爬一爬她/他的图片吧。因为是循环爬取,所以url肯定是动态的,也就是改一下pn的值,查询的人物的名称,保证通用性。而且发现单纯的请求返回的数据不正常,这个时候我们就得加上headers了,这个没办法,百度肯定会有一些防御性的措施来防止爬虫捣乱。# 需要发送请求return url。
科普文:百度交易中台之系统对账篇
为无为,事无事,味无味。
07-21 1015
交易中台为百度小程序、百度地图打车、百度健康、百度文库、百度电商等业务提供了支付、订单、结算等交易服务能力,随着交易业务的飞速发展,交易订单量逐日增加,同时每日产生的交易GMV和清结算资金也是一个很大的体量。主要涉及交易订单、支付通道账单、交易营销、交易履约、数据中心、结算中心、商家资金池、银行打款、数据账房以及百信银行等交易内部10+的链路系统的交易数据,本篇的系统对账主要介绍了如何去实现和保障交易数据的准确性和一致性。
科普文:百度交易中台之订单系统架构浅析
为无为,事无事,味无味。
07-21 981
随着业务不断扩张,虚拟商品的购买,退款已经不能满足业务,需要扩展支持带有物流商品订单,并且在支付方式部分,需要扩展支持各类购买入口和场景,比如聚合扫码支付、小额免密支付、周期代扣。在数据模型的设计上,由于数据库分表字段只能有一个,所以这里采用计算规则将订单号和用户id进行关联,即,让一个用户所有的订单都存储在一张单表之中,具体手段就是通过用户id的一种规则作为分表字段(shardingKey),订单id生成规则和分表字段做关联,具体就不进行展开说明。(如:订单,退款,售后,客诉,商品,库存等)
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8346
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
fanuc robot 安全检测 密码111111
12-22
fanuc robot 是一种高精度、高效率的工业机器人,在使用...总的来说,fanuc robot 安全检测密码111111 是对机器人安全检测的一种授权和限制措施,能够确保机器人在工作过程中安全稳定地运行,并且保障操作人员的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值