技术博客
首页 所有文章 标签 分类 关于
技术博客

目录

MrRobot靶机详细解答

 收录于 未分类
   约 777 字   预计阅读 2 分钟 
https://bing.ee123.net/img/rand?artid=146294306

MrRobot靶机详细解答

一、主机发现

arp-scan -l

https://i-blog.csdnimg.cn/img_convert/ed3f058a3771fa586456fc34553e3111.png

二、端口扫描、目录枚举、指纹识别

2.1端口扫描

nmap -p- 192.168.55.147

https://i-blog.csdnimg.cn/img_convert/8356a9d3cbdba1ad03410277a8646e47.png 发现22端口关闭,且无其它特殊端口,只能去网页中寻找信息

2.2目录枚举

dirb http://192.168.55.147

https://i-blog.csdnimg.cn/img_convert/878459c0804ca15e3e728b5a2fe62976.png

2.3指纹识别

nmap 192.168.55.147 -sV -sC -O --version-all

https://i-blog.csdnimg.cn/img_convert/ad6644a763a316a16cf479dce547d2f7.png 指纹识别没有发现重要信息

三、进入靶机进行信息收集

进入靶机后发现一直在播放动画,输入prepare后,发现动画中有一个域名,但是也访问不到 https://i-blog.csdnimg.cn/img_convert/87ffe1cbd7af29acf685e9875a517d07.png 这个靶机的其它关键词也没有提示什么信息,看看目录枚举的结果 访问刚刚扫描出来的目录发现这个是wordpress的站 https://i-blog.csdnimg.cn/img_convert/67be2ce80c64c7bf6271fbe880bd61c2.png 发现他不会帮助我们 https://i-blog.csdnimg.cn/img_convert/5b8f065099a6f75ca394c8ac0bd5a201.png 继续寻找敏感目录 发现robots.txt文件,尝试将以下内容拼接到192.168.55.147后面 https://i-blog.csdnimg.cn/img_convert/537a83c56bf037f2adeb2431348ac70b.png 其中fsocity.dic被下载下来,感觉是枚举时使用的文件 这个key应该就是第一个key https://i-blog.csdnimg.cn/img_convert/8b37255c51932e62e6eee6addb9ad70f.png 在登陆页面发现有忘记密码这个功能点,尝试爆破用户名,字典就是刚刚下载下来的 https://i-blog.csdnimg.cn/img_convert/fd89a5f5da1643c6d7283dae65334a78.png 发现Elliot这个用户的状态码是500,该用户大概率是存在的 https://i-blog.csdnimg.cn/img_convert/76dc2ef3feaccb6282bcfe40e43b89a1.png 在登录页面中使用Elliot用户名,只进行密码爆破即可 也可以尝试使用wpscan进行爆破

wpscan --url http://192.168.55.147 -U Elliot -P fsocity.dic -t 50

注:该字典文件有很多重复的,可以先去重再跑 去重跑很快就可以跑出来账号和密码 https://i-blog.csdnimg.cn/img_convert/9efc7f00465ee641527c6db47b6a8c87.png

Elliot
ER28-0652

https://i-blog.csdnimg.cn/img_convert/ee1168d2ac3172f2867b6ded239f1664.png 成功登陆

四、反弹shell

wordpress的插件有很多的漏洞 这里可以在插件中进行反弹shell,也可以在Appearance中进行反弹 选择404.php文件,将kali自带的反弹shell脚本复制粘贴在此处 https://i-blog.csdnimg.cn/img_convert/02779b1a77217f68aa111a6efb3459e9.png 点击update https://i-blog.csdnimg.cn/img_convert/e94337b42ccd1a6a7ba8af350c90f3de.png 然后访问该文件

http://192.168.55.147/wp-admin/404.php

https://i-blog.csdnimg.cn/img_convert/f8229f95b4c209158500983354b8f86b.png 成功反弹shell

五、提权

5.1靶机信息收集

https://i-blog.csdnimg.cn/img_convert/8022acc43c1ef9df8f7710391a5872dd.png

5.2第二个key

进入robot目录中找到了第二个key https://i-blog.csdnimg.cn/img_convert/0716876d6c1fee3cbb49a913a6546d46.png

5.3nmap提权

使用find命令查找suid权限的文件

find / -perm -4000 -print 2>/dev/null

https://i-blog.csdnimg.cn/img_convert/26d17680debda462d11a1090c87b59d5.png 找到了nmap可以进行提权 https://i-blog.csdnimg.cn/img_convert/5205e1fdee5f515b26f5b4f072a5885d.png 这里的nmap不能直接使用,环境变量的问题,需要使用绝对路径 https://i-blog.csdnimg.cn/img_convert/35df358cc0e5a4bf3d6a1cbd2f8054ea.png 尝试第一种方法,发现提权不成功,版本在第二种提权方式范围内,尝试第二种方式

/usr/local/bin/nmap --interactive
!sh

https://i-blog.csdnimg.cn/img_convert/aa4cfb8fb64ee45776b606673c549319.png 提权成功!

更新于 2025-03-16
 运维网络服务器安全Linux
返回 | 主页