本次实践仅代表个人思路,如果其他更佳的方法,欢迎互相学习!过程中若有错误欢迎指正!
以下正式开始,如果你阅读当中发现一些不懂的知识或命令那就去百度一下吧,不要懒哈哈哈,命令不会先-h查看一下帮助,例如:nmap -h
- 从网上下载mrRobot镜像之后,依然是使用vm直接打开文件,这里先不要急着打开,先从虚拟机设置网络配置为net模式哦!不然你找不到这个主机。
- 打开kali神机之后,我们使用nmap扫描网段,找到目标主机,也可以使用arp-scan -l哦。我用了nmap如下图,我们可以看到扫描之后会发现有三个ip,除掉自己主机kali的ip,还有网关前两个等,因为这几个在没开mrRbobot之前就已经存在了,可以自己试一下,那么我这里的mrRobot主机ip就是168.174.134(这些关键信息要记录下来,不然你做到后面就忘记了)
- ping一下,看看通不通,万一不通呢哈哈哈。
- 接下来就是扫描端口啦,还是用nmap,如下,sV可以展示更详细的端口信息哦,我
们可以看到目标开启了ssh,和80,还有ssl,ssl不是安全套接字吗,似乎没用,我们去看看80 对外服务上有什么。
5.打开kali浏览器访问目标主机192,.168.174.134:80,这里也可以不用指定80端口,因为默认就是80端口,如下,是不是感觉很高大上,然后你发现她给你展示了shell,而且居然可以输入,那我们先试试有没有用,输入whoami看看当前用户,发现命令不可用,让你输入help,我们输入help,看到了一些命令,我们粗略看一下,似乎也没有什么重要的命令,一个一个输入看一下吧,或许能找到写有用的信息,
我们发现当我们输入最后一个命令的时候,他让我们输入一个邮箱,那我们就随便输入一个,然后回车,然后再刷新,发现我们打开了一个报错页面,提示Notfound,我们看左下角有个login,我们点击看一下,发现一个登陆页面
6.其实到这里,我们可以看一下此时的网址么你会发现这不是一个wordpress框架么,其实在页面好多信息也显示了wordpress这个信息,那么我们到这里想到的有两点,第一,我们可以爆破一下这个用户名和密码试一下,第二,我们去找一下这个框架的漏洞利用一下,我们先试试漏洞的利用,因为漏洞利用成功后得到的信息估计比较多一点,在做之前我们最好找一下wp的版本,我们扫描一下后台吧
使用kali下的dirb,如下,我们再开一个终端窗口,让他扫描,我们干别的,节省时间
7.我们暂且先不知版本的情况下试一下利用漏洞,打开msfconsole,如下,还是再开一个终端,我电脑年龄较大,打开msfconsole耗时太严重了哈哈哈,进去之后我们搜索一下wordpress相关的漏洞,发现搜出来一大堆
我们可以选一个最新的。好利用的(提示的excellent就是这个意思),这个漏洞似乎是通过图片上传shell,我有点不太明白,试一下吧
记一下前面的标号33,然后use,如下,然后show optinos
哎呀,发现要填写的参数有三个,RHOST,PASSWORD,USERNAME,这不知道啊,算了算了换一个漏洞,输入back返回上一级
8.我们先放下前面的步骤,去看一下后台扫描的咋样的,从后台扫描的结果中,我找出以下几个一般比较关键的,我们去访问看一下,会不会有什么信息
这个访问一直乱跳
这个访问就是刚才的那个登录页面
这个访问也是刚才找到的页面
这三个比较重要哦,我们依次访问一下
这是从readme里面发现的,我是不是可以认为这个wp版本不超过2.7呢,这个文件里还有好多信息,链接什么的你也可以点一下进去看看,最下面还有个license.txt的链接,点击看一下似乎里面也没什么重要信息
这是rebots里面的信息,好像也没啥用,后两个文件我们访问一下,第三个文件内容如下,这似乎是hash值,有点像md5,python看一下长度,果然是32位,是MD5,这也是信息,先记下来
我们再找一个wp-config,访问发现没有任何信息,看一下源码也没有,下面扫出来的后台看着也没啥用,这个先到这里,我们继续转到msfconsole
9.我们找一个RCE(远程命令执行),我使用一下试试,如下
Show options发现需要写RHOST,set一下:
然后敲命令run执行发现结果末尾报错
我估计应该是这个问题,因为我们知道对方主机80访问的时候并不是一个wordpress,只是他的一个子域名,我不知道如何设置为子域名啊,算了,我们先还是从那个登录界面入手吧
10.因为那个页面是wp,我们对那个登录页面使用wpscan工具枚举一下用户名,如下
哦吼,竟然没找到用户11.那我们使用一下bp吧,我们先用cewl生成一个字典,使用一下默认的字典也是可以的,但我觉得,既然都没能枚举出用户名,这个用户名和密码估计不是普遍的。这里生成的字典就只有40个,有点小
发现所有的都是错误的用户名,我只是先爆破的用户名,估计这个字典小而且不准的缘故。我们另找思路
12.往前翻看了一下,发现一个东西我没有查看,还是看看吧,就是fsocity.dic,访问一下发现是字典,我的天,弹出下载窗口了,保存一下,这不是明着告诉我要你爆破吗,信息收集真的很重要
13.我们在用bp爆破一下吧,这个字典有点大,可以提高线程到8
跑道2000多的时候,点长度排个序,发现一个不一样的,并且我确认了一下网站是否有错误用户名的提示,确实和其他不一样,其他的都有错误用户名的提示Invalid username
这个是我们找到的第一个用户,更具网站提示试了一下果然是对的,
现在我们爆破一下密码,破解时间太长了,我们这里样养成一个习惯,就是字典在使用钱进行一下去重,把这个字典去重后发现只有10000多,这样很快就破解出来了,如下
13.我们去登录一下,我们这里记一下账户名EIIiot和密码ER28-0652,方便之后查看
登进去之后我们乱看一下找一些信息吧
这个信息证明我们之前判断版本2.7以下是错误的哈哈哈
在这里我们可以新建一个账户名和密码,方便以后进入,还可以看到目前有哪些账户
我们看到一个可以添加页面的地方,我添加了一个一句话木马,访问看看有没有解析,发现并没有,只能另找思路了
13.到这里我好像没有思路了,哎,面向百度渗透吧,实在不会了就只能这么干了,但一味的看答案是真的培养不出来灵感哈哈哈
百度上说wordpress可以编辑模板,真的吗,我去试试,确实可以
我试试写一个一句话看看
哦不,我应该先试一下是否命令可行,先写成如下这样,然后访问404.php,果然可行
14.所以我们写个一句话用蚁剑链接试试,下面那个按钮就是保存
写好后访问访问一下是否报错,发现没有报错(这是个好习惯哦)
15.打开蚁剑试试,厦门面编码器都改成base64,测试链接发现可行,所以添加呗
我们看看网站目录,这里说一下,这个靶机似乎是让我们找key,好像不是flag
我打开虚拟终端看看,我进根目录root发现进不去,应该是没权限
那我们就提权吧,使用一下类似find的提权看看行不行,先找一下哪些命令有4000权限
似乎也不行,没权限sudoers(存放哪些用户可以使用sudo)也改不了。
我们看一下passwd:
我们切换用户试试,但提示我必须用终端运行,可能是因为蚁剑的缘故。15.现在怎么办,我又查看了一下目录,在home/robot发现了又一个key,还有个密码,我们或许可以破解出来这个用户的密码
16.现在的问题是su无法切换用户,想个办法提权,想到msfconsule里面的getsystem,那么如何让他连过来,我先不用蚁剑,,用网上的方法来反弹一个shell吧
怎么回事,是不行吗,嗯???怎么双引号外面还有单引号,是不是他敲错了,改一下试试
好像也还是不行,天,我又得面向百度了,我去找一下
用这个吧,应该可行,我们再去编辑一下404.php
然后开一个监听,报错提示地址已经在使用,换一个端口就行,发现还是不行,那用她的方法,nc监听吧,发现可行。
16.现在我们切换用户robot吧,还是不行,那我现在试试刚才那个命令python -c ‘import pty;pty.spawn(“/bin/bash”)’
竟然有终端了,奇怪了,现在我们切换robot,去MD5网站或者hashcat破一下密码,得到密码为abcdefghijklmnopqrstuvwxyz
输入登入
17.发现robot也没有sudo权限,我们找一下4000权限的命令吧
18.据网上说nmap可以提权,试试吧,使用具有特殊权限的nmap吧,这里进去之后需要输入!sh
做到这里就结束了。
哎呀,发现要填写的参数有三个,RHOST,PASSWORD,USERNAME,这不知道啊,算了算
哦吼,竟然没找到用户
我们切换用户试试,但提示我必须用终端运行,可能是因为蚁剑的缘故。
总结一下:find / -perm -4000 2>/dev/null这个命令中,我上面dev好像写成了etc,这是个小错误。2》、dev/null不懂可以百度一下,是把错误丢掉的意思
发现三个提权命令:
nmap提权
git提权
awk提权
来源:freebuf.com 2020-10-10 16:28:12 by: hacking疯狂网络人
请登录后发表评论
注册