VulnHub实战靶场Mr-Robot

99封情书 提交于 2020-10-03 01:52:58

Vulnhub简介

Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行。每个镜像会有破解的目标,大多是Boot2root,从启动虚机到获取操作系统的root权限和查看flag。网址:https://www.vulnhub.com。

靶场说明

    Mr-Robot是一个难度为中等的Boot2root/CTF挑战,由@sho_luv (Twitter)制作。

描述:

      难度等级:中等

      操作系统类型:Linux

      用户::root, robot, daemon

      flag目录:在用户家目录中

实验目的

      获取三个flag.

实验环境

靶机:Mr-Robot  IP:192.168.1.28

攻击机:Kali Linux  IP:192.168.1.26

实验步骤一

准备阶段

①打开靶机(Mr-Robot)。

 

②打开攻击机(Kali Linux)并确认攻击机ip。

使用命令ifconfig查看攻击机ip为192.168.1.26

 

实验步骤二

主机发现

①输入命令netdiscover尝试发现靶机ip为192.168.1.28。

 

②输入命令nmap -sS -p- 192.168.1.28命令扫描靶机开放端口及服务。

 

如图所示分析可知,靶机关闭了ssh服务,但是开放了80端口和443端口对应的http和https服务,于是猜测可以访问对应ip的网站进行渗透测试。

实验步骤三

前期准备

①访问对应ip地址的web服务并依次尝试其中提供的命令。

 

输入prepare命令发现是一个视频。 

输入fsociety命令发现依然是一个视频。 

输入inform命令发现是一些图片和文字。 

输入question命令发现是一些图片。 

输入wakeup命令发现是视频。 

输入join命令,弹出提示输入邮箱地址。  

②输入命令nikto -h 192.168.1.28对目标ip进行探测。

 

 

发现了登录界面/wp-login/可以利用。

③输入命令dirb http://192.168.1.28扫描目标ip存在的目录。 

 

 

 

 

 

 

 

 发现了可能会有用的目录:/readme、/robots.txt、/wp-login等。

④依次访问对应的目录,寻找有用的信息,发现第1个flag、得到爆破用的字典以及发现登录界面等。

l  访问readme目录

 

l  访问robots.txt目录

如图所示,发现了第一个flag以及一个字典文件,访问key-1-of-3.txt目录获得第一个flag。 

访问fsocity.dic目录获得字典文件。内容如下:

 

⑤发现得到的字典文件很大,猜测有重复字符。 

   于是使用命令sort fsocity.dic | uniq > dic.txt将字典文件去重复化并保存为dic.txt文件。去重复化后的字典大小仅有96.7kb。 

l  访问wp-login目录,发现WordPress登录界面。

实验步骤四

进一步探索

①使用Burp Suite,利用刚刚得到的字典,分别对网站登录的用户名和密码进行爆破。

l  开启Firefox浏览器代理127.0.0.1,端口为8080 

l  Burp Suitte捕包后,首先进行repeater测试,看是否可以进行爆破。

l  经多次repeater对比后发现网站响应仅有时间不同,说明可以对进行爆破。

首先使用刚刚去重复化的字典对用户名字段进行爆破。

将得到的响应结果按长度进行排序,得到用户名可能为elliot、Elliot、ELLIOT。

l  用同样的方法、同样的字典对密码字段进行爆破。结果如下图:

 

按长度排序后发现密码可能为ER28-0652。

②使用用户名和密码登录后尝试利用php的反弹shell获取权限。修改php-reverse-shell.php文件中的ip地址和端口,并将修改后的代码替换掉WordPress中editor页面的404.php文件。

l  使用用户名:elliot,密码:ER28-0652登陆。 

l  输入命令:find / -name php-reverse-shell.php尝试寻找可以利用的php反弹shell文件。

 

 

 

  

将查找到的php-reverse-shell.php文件,修改其中的ip地址为攻击机ip:192.168.1.26,保持端口为默认8888不变,并将修改后的代码替换掉WordPress中editor页面的404.php文件。

 

点击Upadte File上传文件。 

提示上传成功。 

③在Kali上使用nc监听相应的端口,并在浏览器中访问修改过的404.php,得到权限。

l  输入命令nc -lvvp 8888监听8888端口

 

l  在浏览器中访问修改过的404.php,得到权限。

 

④得到权限后,使用cat /etc/passwd查看靶机中的用户,发现有robot这个用户,进入这个用户的目录。

 

⑤尝试查看robot用户下flag的文件,但是发现没有权限并且是robot的文件。于是查看password.raw-md5文件,并按照提示进行md5解密,得到robot用户的密码。

l  使用ls命令查看当前用户下的所有文件,发现有第二个flag与另一个与密码相关的文件。尝试访问key-2-of-3.txt发现权限不足,于是查看password.raw-md5文件。

 

l  使用ls -lar命令发现这两个文件都是robot用户下的文件,说明要想获得第二个flag需要切换到robot用户。

 

l  将之前得到的md5加密后的密码使用在线解密工具进行解密,得到密码为a-z的字母表。

⑥使用python -c 'import pty'pty.spawn("/bin/bash")'命令打开终端,使用密码登陆到robot用户并获取第2个flag。

  

最后的探索

①利用可执行文件SUID进行Linux提权。使用命令:find / -user root -perm -4000 -print 2>/dev/null 寻找可以利用的命令,发现了nmap命令。

 

②查询资料发现早期版本的Nmap(2.02到5.21)有交互模式,允许用户执行shell命令。于是使用命令nmap -v查看nmap的版本为3.81符合要求。

③使用命令:nmap --interactive,进入交互模式,接着使用命令:!sh成功提权为root用户。

 

④切换到root目录下,拿到最后的flag。

 

 

 

 

 

 

 

标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!