本文作者：恩格尔-src小组

﹀

﹀

﹀

靶机简介：

靶机主题来自美剧《黑客军团》，这是一部传达极客精神和黑客文化的上佳作品，不同于《硅谷》的搞笑风格，这部剧的主角Eliot患有精神分裂，整部剧的情节都较为压抑，有点类似于电影《搏击俱乐部》中双重人格的斗争。

虽然有影视色彩的加成，但是剧中的黑客技术细节还是足够真实的，起码符合常规的入侵渗透思路，强烈推荐该剧。

本次靶机有三个flag，难度在初级到中级，非常适合新手训练学习，不需要逆向技术，目标就是找到三个key，并且拿到主机root权限

环境介绍

攻击机：kali2019.2

靶机：mr.Robot

靶机界面

靶机下载地址：

https://www.vulnhub.com/entry/mr-robot-1,151/

首先我们把环境搭建好

靶机以及我们的kali我们都要调成桥接模式

开始实战

我们首先kali查询一下自己的ip

由于我们做了桥接模式

就证明了靶机和我们攻击机是同一个网段的

然后我们打开nmap扫描一下

nmap -R 192.168.17.0/24 ##这个是扫网段的/24是全网段

发现靶机ip是192.168.1.184

开放端口如图

然后我们使用浏览器访问一下这个ip

原来看界面哇擦，是网页版ssh欸执行whoami试试

但事实没那么简单

我们发现什么命令都使用不了 fuck~

什么命令我都执行不了耍我呢，不急我先信息收集一下

扫一下他的目录看看有没有什么敏感信息泄露

在这里我推荐一个工具：gobuster

这工具十分强大

安装命令：sudo apt-get install gobuster

在这里我就使用了这个工具来扫描目录，我使用的模式是dir模式

字典的话我使用了御剑的字典

扫出来的目录

然后我们发现有一个robots.txt

robots.txt经常会泄露一些敏感的文件，他是浏览器用来收录的过滤器，又叫网络蜘蛛

然后我们访问一下，发现2个文件

然后我们访问第一个文件看看

然后我们成功下载下来了

我们看看内容如何

感觉像什么呢？是不是有点像我们使用的密码字典

先保存下来先可能后面有用

然后我们再去访问第二个文件

然后我们使用md5在线平台解密一下：发现啥都没有

唉！那算了我们使用扫描器扫吧：

这里介绍一下nikto

这款扫描器是kali自带的开源扫描器

然后我们现在使用它一下

扫描结果：我们发现有一个wordpress login窗口

我们拼接上url看看

发现了一个登录窗口

首先我们使用我们的万能常见的密码测试一下

admin admin

test test

admin888

admin666

都不行

显示用户名错误

那我们只能打开我们的神器了：burpsuite

然后我们随便在登录框输入一下账号密码，然后使用burpsuite抓包

然后我们发送到intruder模块爆破

我们是首先爆破用户名，所以我们就设定用户名为变量就可以

然后我们爆破出来了用户名了有2个

我们记录下来

2个账号：Elliot   elliot

好了接下来就是得爆破密码了

还记得我们那个fsocity.dic的文件吗？那个像密码字典那个文件

我们使用那个来跑一下密码看看

爆破结果：

然后得到了账号和密码

username：elliot   password：ER28-0652

我们登录一下wordpress

我们现在是需要获取权限所有我们要使用一个shell

wordpress是php开发的所有我们得找一个php的反弹shell

我们使用kali自带的吧

使用find命令 学过liunx的应该都知道这个命令

然后我们使用cat命令查看

然后把里面的内容复制

然后回到我们的wordpress，先把里面原本自带的404页面删除

然后粘贴上我们刚刚复制那个php反弹shell的内容粘贴在上面

修改完后，我们保存update file

然后再回到kali

祭出我们的瑞士军刀nc

然后浏览器访问一下我们刚刚的404页面

回到kali，我们的瑞士军刀nc已经监听到了

然后首先看自己的权限

whoami一下

然后我们查看一下文件

ls一下

然后我们要读取一下靶机的密码

命令：cat /etc/passwd

然后我们看看home目录有些什么

然后发现了一个robot文件夹里面有2个文件 key-2-of-3.txt    password.raw-md5

我们看看这2个文件是干嘛的

然后我们看看这个能读取的md5是否能解密

然后利用在线的somd5.com的网站解密，这个网站好，上面使用那个查询还需要收费

然后我们看看解密的这个密码是否可以登录robot的用户

命令：su robot

那怎么办呢？我们升级一下shell

利用python生成终端

python -c 'import pty; pty.spawn("/bin/bash")'

#渗透中使用可以获取一个稳定的shell用处大

然后提升了权限，密码是我们之前somd5解密出来的密码

你会发现终端不会只有一个$了，改变成我们现在用户权限的昵称

成功登录robot用户：

whoami确认一下当前登录用户

还记得我们在之前的权限home中那个目录中

有个key-2-of-3.txt文件我们没有权限访问吗？

我们利用现在的权限去看看是否能查看

这样第二个key就拿到了

现在我们进行提权

我们首先尝试一下suid提权

参考文章：https://www.anquanke.com/post/id/86979

命令：find / -user root -perm -40002>/dev/null

这个命令将从/目录中查找具有SUID权限位且属主为root的文件并输出它们，

然后将所有错误重定向到/dev/null，从而仅列出该用户具有访问权限的那些二进制文件

然后我们发现一个nmap~

nmap不是我们日常扫描端口的神器吗

我们看看它的版本先

随便对照一下本机的nmap版本

我们查看一个靶机的nmap是什么权限

查看后我们发现是root执行权限

nmap（2.02至5.21）具有交互模式，interactive这个命令 允许用户执行Shell命令

命令：!sh

然后每个用户权限都会有自己的目录

我们进入root目录看看有没有什么发现

我们查看一下

然后拿密码登录就行啦完全拿到root权限

觉得内容还有不足的地方的表哥，

可以在下方评论告诉我或者加我微信，

我会努力改善，

还有疑问的小伙伴也可以加我微信，

关注上面点击关于我即可！

想第一时间知道更新时间

就动一下你的小手指按一下关注嘞！

扫描下方二维码学习更多WEB安全知识：

Ms08067安全实验室

专注于普及网络安全知识。团队已出版《Web安全攻防：渗透测试实战指南》，《内网安全攻防：渗透测试实战指南》，目前在编Python渗透测试，JAVA代码审计和二进制逆向方面的书籍。

团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货，从零开始、以实战落地为主，致力于做一个实用的干货分享型公众号。

官方网站：www.ms08067.com