【甄选靶场】Vulnhub百个项目渗透——项目二十三：mrRobot-1（文件上传，暴力破解，nmap提权）

最新推荐文章于 2023-07-27 11:24:08 发布

人间体佐菲

最新推荐文章于 2023-07-27 11:24:08 发布

阅读量841

点赞数 2

分类专栏： vulnhub百个项目渗透文章标签：网络 tcp/ip 安全 web安全网络安全

本文链接：https://blog.csdn.net/weixin_65527369/article/details/127026667

版权

vulnhub百个项目渗透专栏收录该内容

52 篇文章 81 订阅

订阅专栏

Vulnhub百个项目渗透

Vulnhub百个项目渗透——项目二十三：mrRobot-1（文件上传，暴力破解，nmap提权）

🔥系列专栏：Vulnhub百个项目渗透
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间：🌴2022年9月24日🌴
🍭作者水平很有限，如果发现错误，还望告知，感谢！

前言

本文章仅用作实验学习，实验环境均为自行搭建的公开vuinhub靶场，仅使用kali虚拟机作为操作学习工具。本文仅用作学习记录，不做任何导向。请勿在现实环境中模仿，操作。

我要说

这个靶场做的真的很有态度，页面吊炸天，我反正拿到手里认认真真的看完了他的前端，真棒做的

一、梳理流程

端口发现（看看使用了哪些端口，开启了什么服务，寻找突破点）
信息收集（利用遍历，关键词搜索等方式对敏感文件，插件尝试访问，寻求突破并获取shell）
二次收集（基于已得到的服务或者主机再次信息收集）
内网提权（尝试利用内核，各种版本漏洞等方式来提升权限）
毁尸灭迹（清除日志等文件，但是靶场就没必要了，拿旗就走）

二、使用步骤

一、信息收集

nmap 192.168.247.156
nmap -sS -sV -A -T5 192.168.247.156

在这里插入图片描述 --------------------------
22/tcp closed ssh
80/tcp open http
443/tcp open https

到这里基本可以知道他有一个关闭的ssh，还有https,可能有的网站你http访问不到但是https就可以，这个要注意

curl http://192.168.247.156
nikto -h 192.168.247.156
gobuster也可以用，但是太长了实在是懒得敲

在这里插入图片描述

看到了这么多，属实扫了半天，最终发现了这是个wordpress的站点，还有一个robots.txt，这个敏感文件就算不扫也要访问，无论我何时何地，统统访问。

在这里插入图片描述

发现了一个字典还有一个txt文件，访问过后发现这个txt是一个flag，然后访问那个字典会自动下载

在这里插入图片描述

然后这个是登陆页面，没有弱口令，这个时候就应该想到这个刚才拿到的字典。
然后再开个漏扫，过一会看看扫描结果

二、爆破

爆破准备（字典缩减）

https://www.runoob.com/linux/linux-comm-sort.html

利用sort这个linux函数，将得到的密码本进行优化

sort rong.txt | uniq > rong1.txt
-u, --unique 配合-c，严格校验排序；不配合-c，则只输出一次排序结果

爆破检查

首先就是要检查逻辑，因为在登陆的时候有的网站会准确的显示无效的账号，无效的密码，还有的无效的账号或密码。前两种就很好借助逻辑问题去筛选出正确的用户名，我们现在bp抓包看一下回显包是怎么反馈的。

在这里插入图片描述

如图所示，接下来我们要找个工具去批量发请求然后还要排除掉这个Invalid username

hydra -L rong1.txt -p balabala 192.168.247.156 http-post-form '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=Invalid username'

在这里插入图片描述

wpscan -U Elliot -P rong1.txt --url http://192.168.247.156
[SUCCESS] - Elliot / ER28-0652
成功爆破了！
或者用burpsuit 单变量，然后把密码本加进去，不会用的就用wpscan爆破就行，我比较了一下，
wpscan真的快，bp可能爆破了有10分钟，wpscan一分钟吧差不多

在这里插入图片描述

在这里插入图片描述 PS:强烈建议大家把windows的自动更新关了，我刚才开的另一台扫描器扫的这个站，没仔细看就截了个图放上来，然后我刚准备回头去看一眼有啥洞的时候，发现：
惊呆了老铁

他居然在自动更新--------- 真tm无语

三、文件上传突破

因为做过很多wp的题，这个玩意一般都面领着文件上传漏洞，刚才AWVS也扫出来了来着
我进站一顿找，我感觉有可以造成XSS的一个公告栏，然后一个文件上传的一个接口，只是怀疑哈，然后搭配着AWVS才确定真的有一个文件上传，不放心的还可以WPSCAN扫一下，不影响。

下面这个是网上搜的，已知cms到处是exp 点击：Appearance->Add New->Upload Theme->文件上传

那么现在就是确定了方向，上传一个混淆过的php反连脚本，然后拿shell

在这里插入图片描述

这就看到了我们刚才传的脚本

在这里插入图片描述

kali这边开个端口接着，就拿到了shell

四、提权

提权三剑客，还有众多的提权检索语句，这里我没有用脚本，懒得跑了，用了最常用的

ls -la

发现当前目录下就有2-3的flag，然后还有一个md5的密码
我，们直接放到cmd5去解密
得到robot用户密码abcdefghijklmnopqrstuvwxyz

在这里插入图片描述

su robot
abcdefghijklmnopqrstuvwxyz
find / -perm -4000 2>/dev/null
查找具有具有最高权限的文件

在这里插入图片描述
发现了这几个特别的

/usr/local/bin/nmap
/usr/lib/openssh/ssh-keysign
/usr/lib/eject/dmcrypt-get-device

namp提权

find / -name nmap 2>/dev/null   --找到nmap在哪里
/usr/local/bin/nmap                                                                      
/usr/local/share/nmap 
---有上面这两个目录，我们选择bin目录下的nmap
!id
!/bin/bash -p

-p是特权模式，这里借助的原理是nmap按照root运行，然后namoa也有自己的shell

在这里插入图片描述

人间体佐菲

关注

2
点赞
踩
1

收藏

觉得还不错? 一键收藏
打赏
0
评论
【甄选靶场】Vulnhub百个项目渗透——项目二十三：mrRobot-1（文件上传，暴力破解，nmap提权）

Vulnhub百个项目渗透——项目二十三：mrRobot-1（文件上传，暴力破解，nmap提权）信息安全，网络安全，渗透测试
复制链接

扫一扫