Vulnhub-靶机-MR-ROBOT: 1

本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现

地址:https://www.vulnhub.com/entry/mr-robot-1,151/

sudo nmap -n -p- -sC -sV -T5 -vvv 192.168.202.11 -oN mrrobot.nmap

nmap扫描结果

Vulnhub-靶机-MR-ROBOT: 1

开放了3个端口,首先访问下80端口,发现如下信息

Vulnhub-靶机-MR-ROBOT: 1

没看到啥有价值的信息,顺手访问下robots.txt看看

Vulnhub-靶机-MR-ROBOT: 1

看到两个目录,访问如下

Vulnhub-靶机-MR-ROBOT: 1

现在已经知道了其中一个key的值了,访问另一个发现是可下载的文件, 看后缀像是字典,我们下载下来

Vulnhub-靶机-MR-ROBOT: 1

上面的字典先放着,用用nikto扫描看看

Vulnhub-靶机-MR-ROBOT: 1

发现了跟WordPress相关的URI路径了,这里是知道了后台登录地址,猜想这里可以要使用上面的字典进行爆破了

Vulnhub-靶机-MR-ROBOT: 1

试了些常用的用户名发现都不存在,使用wpscan扫描识别下用户名也没有成功,使用gobuster进行爆破下目录

Vulnhub-靶机-MR-ROBOT: 1

把上面所有URI试着访问了一遍,最终发现license.txt存在重要敏感信息

Vulnhub-靶机-MR-ROBOT: 1

Vulnhub-靶机-MR-ROBOT: 1

得到一串base64编码的字符 ZWxsaW90OkVSMjgtMDY1Mgo=

Vulnhub-靶机-MR-ROBOT: 1

elliot:ER28-0652 将次信息当做用户名和密码登录试试

Vulnhub-靶机-MR-ROBOT: 1

登录成功

另一种方式获得目标靶机WordPress程序的用户名和密码,这里思路就是先随便使用一个密码,然后使用上面的字典去尝试猜测用户名,如果返回的不是无效的用户名那么说明目标是存在这个用户的,我们可以使用hydra能做到这一点,具体如下命令爆破

对上述得到的密码字典进去去重

  # wc -l fsocity.dic
  858160 fsocity.dic
  # sort -u fsocity.dic | wc -l
  11451

  # sort -u fsocity.dic > fsocity_sort.dic

hydra -L fsocity_sort.dic -p bmfx 192.168.202.11 http-post-form "/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=Invalid username" -t 50 -f -V

最终爆破成功的结果如下:

Vulnhub-靶机-MR-ROBOT: 1

得到了用户名,那么就使用此用户名进行爆破破解密码,既然是WordPress程序,那么可以使用wpscan进行密码破解

wpscan --url http://192.168.202.11 -U elliot -P fsocity_sort.dic

Vulnhub-靶机-MR-ROBOT: 1

这里也是可以使用hydra进行密码破解

hydra -vV -l elliot -P fsocity_sort.dic 192.168.202.11 http-post-form "/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=is incorrect"

Vulnhub-靶机-MR-ROBOT: 1

完成上述操作之后就可以成功登陆目标靶机的WordPress程序,这里的WordPress程序好多种反弹shell方式,我这里就使用上传主题的方式操作,注意上传的时候显示失败,实际上是可以上传zip,php等格式,但实际是成功了

Vulnhub-靶机-MR-ROBOT: 1

点击上传的文件即可看到上传的URL路径

Vulnhub-靶机-MR-ROBOT: 1

直接本地kali监听对应端口访问上传的php代码即可反弹成功

Vulnhub-靶机-MR-ROBOT: 1

Vulnhub-靶机-MR-ROBOT: 1

PS:此靶机的WordPress同样可以使用之前我靶机演示的404.php文件直接粘贴php反弹代码,然后访问效果一样

到了这一步,一般套路就是翻看目标靶机的家目录,和系统版本及网站根目录查看相关信息,这里直接在家目录下发现了一个用户,那么需要想办法切换到此用户然后进行提权,具体发现了如下信息:

Vulnhub-靶机-MR-ROBOT: 1

发现用户robot和对应的md5值,然后将这个md5值丢到 https://www.somd5.com/ 破解得出密码:abcdefghijklmnopqrstuvwxyz

Vulnhub-靶机-MR-ROBOT: 1

又找到一个key的值,横向移动到另一个用户之后常规的套路就是走捷径,看看能不能使用sudo提权,或者被赋予了setuid的权限文件进行提权,这里使用find命令查找下

查找setuid权限的文件,并过来关键字snap
ls -alt `find / -perm -4000 -type f 2>/dev/null` | grep -v snap

同样是查找setuid的权限,但是查出来不显示
find / -perm -4000 -type f 2>/dev/null

同样可以指定用户查找setuid的文件
find / -user root -perm -4000 2>/dev/null

Vulnhub-靶机-MR-ROBOT: 1

从上操作可知最终得到可以使用nmap进行提权了,关于nmap提权可以参考:https://gtfobins.github.io/gtfobins/nmap/  https://www.leavesongs.com/PENETRATION/linux-suid-privilege-escalation.html

既然知道了怎么提权,那么首先看看nmap的版本

Vulnhub-靶机-MR-ROBOT: 1

擦,刚好这个版本支持交互式的命令参数,可以直接进入交互式模式提权,最近的新版没有这类命令,需要通过script进行提权

Vulnhub-靶机-MR-ROBOT: 1

提权成功

上一篇:vulnhub靶场 之 DC -1


下一篇:一次 vulnhub靶机提权