渗透测试实战-Vulnhub-Mr-Robot

Mr Robot

简介
- Based on the show, Mr. Robot.（电视剧黑客军团）
- This VM has three keys hidden in different locations. Your goal is to find all three. Each key is progressively difficult to find.
- The VM isn\'t too difficult. There isn\'t any advanced exploitation or reverse engineering. The level is considered beginner-intermediate.
- 下载链接
  - Download (Mirror): https://download.vulnhub.com/mrrobot/mrRobot.ova
  - Download (Torrent): https://download.vulnhub.com/mrrobot/mrRobot.ova.torrent
  - 普通下载速度较慢，使用IDM下载到百分之３０左右无法继续连接，可能是个别情况，后来使用FreeDownloadManager成功下载
- 在导入虚拟机后发现，它默认的网络模式为桥接，桥接在物理机的无线网卡上，为了方便我将Kali的网络模式也改为桥接在无线网卡上，这样在探测存活主机时能够成功探测到、
- 一些参考的Walkthrough，在原网站上还有更多的可以参考查阅
  - https://bryceandress.github.io/2016/07/02/Mr-Robot-CTF.html
  - https://www.linkedin.com/pulse/vulnerable-vm-mr-robot-1-ctf-walkthrough-dehvon-curtis
- 另外需要注意的一点是，在这个虚拟机的描述中提到，
准备阶段
- 打开靶机以及Kali
  - 靶机
  - Kali
- 探测存活主机，使用两种方式
  - netdiscover
    - 同样是PCS的那个，地址为192.168.1.15
  - arp-scan -l
- 使用nmap探测开放端口及服务
  - 发现SSH服务关闭，还是开放了HTTP服务说明可能有这么一个网站
前期的了解准备
- 访问这个Web服务看看有什么
  - 感觉还挺好玩的样子，开始自动登录root，后面出现了一段话，提示可以输入下面的命令
- 挨个尝试一下看看
  - prepare
    - 是一个视频，来源于电视剧黑客军团，后面的应该也都是
  - wakeup 还是个视频
  - inform
    - 就是一些图片和话语
  - question
    - 一些图片
  - join
    - 提示输入入伙邮箱什么的
  - 这些具体的信息或许会有用
- 同样的尝试使用工具探测一下，nikto -h 192.168.1.15
  - 算是有所发现的
    - 探测到了蛮多东西的，尤其是关于wordpress的相关信息
    - easily to brute force file names,在提供的网址可以查看相关的信息，有安装版本，admin登录等等
  - 在使用dirb时，发现很多目录
    - 针对性的尝试一下，比如readme,admin,index,login,robot,robots.txt,重要点的：http://192.168.1.15/wp-admin/
  - 进行目录的探索,发现第一个flag
    - robots.txt
      - 起初在admin下的txt文件中没有看到有用的，原来是查看错了，现在已经找到了第一个flag
      - 访问这个user-agent
        
        是一个代码文件，可以保存看看
        
        像是一个字典，用户名之类的吧
      - 直接访问flag
        
        得到第一个flag
    - index.html,index.php,打开后的效果都一致，没有什么显示的东西，查看源码
      - 其中有一句提示的注释是一个提示升级浏览器的话语
        
        
    - readme
    - /admin/video
      - 没有权限
    - /wp-login,和/wp-admin-login是一样的
进一步探索
- 前期知道并发现是wordpress平台，可以进行一定的尝试
- 通过查阅资料，可以联想到之前得到的一个类似于用户名字典的文件
  - The great/horrible thing about Wordpress is that it tells you when you have a correct username and when you entered a username that does not exist
  - 这部电视剧的主人公叫Elliot，可以作为用户名尝试
    - 发现确实有这么个用户
  - 接着可以使用wpscan工具进行扫描，方法：https://www.freebuf.com/sectool/174663.html
    - 在知道有一个用户名为elliot后可采用wpscan 爆破出密码，使用的字典就是下载好的fsocity.dic
      - wpscan --url http://192.168.1.15 -P ~/Download/fsocity.dic -U elliot
      - 基本的扫描，版本信息什么的
      - 接着是爆破的过程，可能是因为在虚拟机中比较慢，足足有半个小时，最后得到结果
        
        得到了密码ER28-0652
    - 或者使用burpsuite抓包，进行暴力破解，用户名和密码都可以进行破解
- 通过前面的破解，得到了一个用户名：Elliot 及其密码：
  - 登录界面
利用反弹shell获取权限
- word press由PHP开放，我们需要一个php的shell
- 使用命令查找关于php-reverse的shell
  - find / -name php-reverse-shell.php
    - 找到了几个，查看试试
- 使用含有wordpress的那一个，在，editor中编辑404.php文件，替换为找到的shell，设置好IP和port
  - 点击update
- 在Kali上监听相应的端口，并在浏览器中访问修改过的404.php，得到权限
  - 注意监听的命令与之前的有细微的差别
获得权限后浏览目录找寻flag
- 首先读取一下靶机的密码
  - cat /etc/passwd，发现有robot这个用户，进入这个用户的目录
- 在robot中找到了文件，还有一个password文件
  - 发现没有权限查看
  - 并且是robot的文件
- 根据提示采用MD5解密那一段字符串
  - 得到robot的密码是a~b
- 尝试使用新的用户和密码登录
  - su robot
    - 提示需要从终端运行
  - 想到之前使用python可以打开终端，进行尝试，最终得到了第二个flag
    - 记住python -c \'import pty\'pty.spawn("/bin/bash")\'用到的比较多注意单引号的位置
Linux提权
- Linux提权——利用可执行文件SUID https://www.anquanke.com/post/id/86979
  - 搜索符合条件的进行提权三种搜索的方式
    - find / -perm -u=s -type f 2>/dev/null
    - find / -user root -perm -4000 -exec ls -ldb {} \;
    - find / -user root -perm -4000 -print 2>/dev/null
  - 搜索具有root权限的程序
    - nmap vim find Bash More Less Nano cp等，目前使用过nmap pip pyton
  - 还可以利用find
- rbash绕过
尝试获得root权限
- 起初发现robot用户不能访问一些目录
- 探索其他目录，寻找可以有属主为oot的东西，使用find命令
  - find / -user root -perm -4000 -print 2>/dev/null
- 找到一个nmap
  - 据说是老版本，而nmap一般需要root权限 kali上的版本要高很多
- 了解可知，nmap（2.02至5.21）具有交互模式，interactive这个命令允许用户执行Shell命令
  - 使用nmap --interactive 进入交互模式，输入！sh进入终端模式
    - 在交互模式输入help查看道有一条参数可以执行shell命令，，sh就代表的是shell
- 最终在root目录下找到最后一个flag