Mr. Robot 靶机渗透
目标:得到root权限
作者:shadow
时间:2021-03-12
请注意:对于所有计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,概不负责。
一、信息收集
首先用扫描靶机ip
netdiscover -i eth0 可见靶机ip为172.16.1.9
使用nmap进行端口扫描
nmap -p- -A 172.16.1.9
我们可以看到主机开放80、443端口,端口开放少的可怜,只有http与https
我们使用dirb进行web目录扫描,看看能否发现有用的信息
dirb http://172.16.1.9
结果如下:
发现了一个robots.txt,我们打开看看有什么?
看到有两个信息,fsocity.dic与key-1-of-3.txt
我们将fsocity.dic下载下来,猜测应该是一个字典表
再看下key-1-of-3.txt
发现是一串加密数字,猜测是md5加密,我们去https://www.cmd5.com解密下
未查到结果。。。我们去登录页看看
使用burpsuit进行爆破,设置用户名密码相同
发现这个用户返回值不一样,我们来看看response
猜测用户名为Elliot,我们发现字典表里面很多重复值,我们去重下。
sort fsocity.dic | uniq > dic.txt将字典文件去重复化并保存为dic.txt文件。发现果然小了很多
我们将用户名限制为Elliot,用去重后的字典跑密码
跑了好久终于跑出了密码为ER28-0652
回到登录页面进行登录,成功登陆
看了一遍,发现appearance里面可以上传文件
在kali中找到php的反弹shell
find / -name php-reverse-shell.php
打开文件,将内容全部复制到404页面中,修改lhost与lport,点上传
上传成功后本地开启4444端口监听
nc -nvlp 4444
然后访问404页面调用木马
http://172.16.1.9/404.php
成功反弹shell
二、提权
查看权限,发现不是root
查看passwd文件
cat /etc/passwd
发现robot用户,进入/home/robot查看,发现password,加密方式为md5
在线解密后密码为abcdefghijklmnopqrstuvwxyz
切换到robot用户
su robot
输入密码成功进入robot用户
尝试用suid提权
find / -user root -perm -4000 -print 2>/dev/null
发现nmap竟然有suid权限
nmap(2.02到5.21)版本存在交互功能,可以允许用户执行脚本。我们来看一下版本
nmap -v
发现版本号为3.81,存在交互功能
使用nmap --interactive进入nmap交互模式
执行!sh获得root权限
三、总结
1、目录扫描robots.txt文件的利用
2、使用burpsuit爆破后台
3、Wordpress后台修改模板getshell
4、Nmap的suid提权利用