滲透測試實戰-Vulnhub-Mr-Robot

Mr Robot

簡介
- Based on the show, Mr. Robot.（電視劇黑客軍團）
- This VM has three keys hidden in different locations. Your goal is to find all three. Each key is progressively difficult to find.
- The VM isn't too difficult. There isn't any advanced exploitation or reverse engineering. The level is considered beginner-intermediate.
- 下載連接
  - Download (Mirror): https://download.vulnhub.com/mrrobot/mrRobot.ova
  - Download (Torrent): https://download.vulnhub.com/mrrobot/mrRobot.ova.torrent
  - 普通下載速度較慢，使用IDM下載到百分之３０左右沒法繼續鏈接，多是個別狀況，後來使用FreeDownloadManager成功下載
- 在導入虛擬機後發現，它默認的網絡模式爲橋接，橋接在物理機的無線網卡上，爲了方便我將Kali的網絡模式也改成橋接在無線網卡上，這樣在探測存活主機時可以成功探測到、
- 一些參考的Walkthrough，在原網站上還有更多的能夠參考查閱
  - https://bryceandress.github.io/2016/07/02/Mr-Robot-CTF.html
  - https://www.linkedin.com/pulse/vulnerable-vm-mr-robot-1-ctf-walkthrough-dehvon-curtis
- 另外須要注意的一點是，在這個虛擬機的描述中提到，
準備階段
- 打開靶機以及Kali
  - 靶機
  - Kali
- 探測存活主機，使用兩種方式
  - netdiscover
    - 一樣是PCS的那個，地址爲192.168.1.15
  - arp-scan -l
- 使用nmap探測開放端口及服務
  - 發現SSH服務關閉，仍是開放了HTTP服務說明可能有這麼一個網站
前期的瞭解準備
- 訪問這個Web服務看看有什麼
  - 感受還挺好玩的樣子，開始自動登陸root，後面出現了一段話，提示能夠輸入下面的命令
- 挨個嘗試一下看看
  - prepare
    - 是一個視頻，來源於電視劇黑客軍團，後面的應該也都是
  - wakeup 仍是個視頻
  - inform
    - 就是一些圖片和話語
  - question
    - 一些圖片
  - join
    - 提示輸入入夥郵箱什麼的
  - 這些具體的信息或許會有用
- 一樣的嘗試使用工具探測一下，nikto -h 192.168.1.15
  - 算是有所發現的
    - 探測到了蠻多東西的，尤爲是關於wordpress的相關信息
    - easily to brute force file names,在提供的網址能夠查看相關的信息，有安裝版本，admin登陸等等
  - 在使用dirb時，發現不少目錄
    - 針對性的嘗試一下，好比readme,admin,index,login,robot,robots.txt,重要點的：http://192.168.1.15/wp-admin/
  - 進行目錄的探索,發現第一個flag
    - robots.txt
      - 起初在admin下的txt文件中沒有看到有用的，原來是查看錯了，如今已經找到了第一個flag
      - 訪問這個user-agent
        
        是一個代碼文件，能夠保存看看
        
        像是一個字典，用戶名之類的吧
      - 直接訪問flag
        
        獲得第一個flag
    - index.html,index.php,打開後的效果都一致，沒有什麼顯示的東西，查看源碼
      - 其中有一句提示的註釋是一個提示升級瀏覽器的話語
        
        
    - readme
    - /admin/video
      - 沒有權限
    - /wp-login,和/wp-admin-login是同樣的
進一步探索
- 前期知道並發現是wordpress平臺，能夠進行必定的嘗試
- 經過查閱資料，能夠聯想到以前獲得的一個相似於用戶名字典的文件
  - The great/horrible thing about Wordpress is that it tells you when you have a correct username and when you entered a username that does not exist
  - 這部電視劇的主人公叫Elliot，能夠做爲用戶名嘗試
    - 發現確實有這麼個用戶
  - 接着可使用wpscan工具進行掃描，方法：https://www.freebuf.com/sectool/174663.html
    - 在知道有一個用戶名爲elliot後可採用wpscan 爆破出密碼，使用的字典就是下載好的fsocity.dic
      - wpscan --url http://192.168.1.15 -P ~/Download/fsocity.dic -U elliot
      - 基本的掃描，版本信息什麼的
      - 接着是爆破的過程，多是由於在虛擬機中比較慢，足足有半個小時，最後獲得結果
        
        獲得了密碼ER28-0652
    - 或者使用burpsuite抓包，進行暴力破解，用戶名和密碼均可以進行破解
- 經過前面的破解，獲得了一個用戶名：Elliot 及其密碼：
  - 登陸界面
利用反彈shell獲取權限
- word press由PHP開放，咱們須要一個php的shell
- 使用命令查找關於php-reverse的shell
  - find / -name php-reverse-shell.php
    - 找到了幾個，查看試試
- 使用含有wordpress的那一個，在，editor中編輯404.php文件，替換爲找到的shell，設置好IP和port
  - 點擊update
- 在Kali上監聽相應的端口，並在瀏覽器中訪問修改過的404.php，獲得權限
  - 注意監聽的命令與以前的有細微的差異
得到權限後瀏覽目錄找尋flag
- 首先讀取一下靶機的密碼
  - cat /etc/passwd，發現有robot這個用戶，進入這個用戶的目錄
- 在robot中找到了文件，還有一個password文件
  - 發現沒有權限查看
  - 而且是robot的文件
- 根據提示採用MD5解密那一段字符串
  - 獲得robot的密碼是a~b
- 嘗試使用新的用戶和密碼登陸
  - su robot
    - 提示須要從終端運行
  - 想到以前使用python能夠打開終端，進行嘗試，最終獲得了第二個flag
    - 記住python -c 'import pty'pty.spawn("/bin/bash")'用到的比較多注意單引號的位置
Linux提權
- Linux提權——利用可執行文件SUID https://www.anquanke.com/post/id/86979
  - 搜索符合條件的進行提權三種搜索的方式
    - find / -perm -u=s -type f 2>/dev/null
    - find / -user root -perm -4000 -exec ls -ldb {} \;
    - find / -user root -perm -4000 -print 2>/dev/null
  - 搜索具備root權限的程序
    - nmap vim find Bash More Less Nano cp等，目前使用過nmap pip pyton
  - 還能夠利用find
- rbash繞過
嘗試得到root權限
- 起初發現robot用戶不能訪問一些目錄
- 探索其餘目錄，尋找能夠有屬主爲oot的東西，使用find命令
  - find / -user root -perm -4000 -print 2>/dev/null
- 找到一個nmap
  - 聽說是老版本，而nmap通常須要root權限 kali上的版本要高不少
- 瞭解可知，nmap（2.02至5.21）具備交互模式，interactive這個命令容許用戶執行Shell命令
  - 使用nmap --interactive 進入交互模式，輸入！sh進入終端模式
    - 在交互模式輸入help查看道有一條參數能夠執行shell命令，，sh就表明的是shell
- 最終在root目錄下找到最後一個flag