VulnHub - Mr-Robot: 1破解

环境说明：
靶机：172.21.137.45
KALI：172.21.137.36

渗透过程：
首先，在KALI用命令:arp-scan -l ，找到要渗透的靶机，如图：

这里说一下，如果用得NAT模式会很好找，但是像我用桥接模式的话，有两种方法可以找：
1、找末尾显示是VMware.Inc.的，然后一个个扫，一个个去访问，看哪个最像靶机
2、先把靶机关闭，Kali执行arp-scan -l 命令，然后开启靶机，继续用一次arp-scan -l命令，找多出来的那一个肯定就是了

既然以上找到靶机了，那么用命令：nmap -n -v -Pn -sC -sV --open -p- -T4 172.21.137.45 去扫一下，看看开启了扫描端口和使用了扫描服务，如图：

从扫描结果来看，该靶机只开了http80端口和https443端口，逐个访问下，发现都是一样的东西，只是用了不同的协议而已，如图：

根据Commands下的命令逐个输入，基本都是展示性的视频什么的，无利用价值但还蛮酷的，那就先习惯性的再URL后面加个robots.txt碰碰运气吧，如图：

不碰不知道，一碰吓一跳，鬼鬼第一个Flag就这么拿到了？访问下这个文件key-1-of-3.txt看看是啥，如图：

尝试过用MD5和BASE64解码，没什么结果，看来就是个普通的Flag，那再看看fsocity.dic，根据后缀判断是个字典文件，看来后续有什么地方可以用，如图：

robots.txt没什么看的了，继续检查下有什么文件或者目录可以访问的，直接用dirsearch工具，命令：./dirsearch --random-agents -u ''https://172.21.137.45/" -e *，如图：

逐个访问下来，只有wp-login看上去还有利用价值，访问一下，如图：

是个WordPress的后台，但用手工用弱口令试了几次，都不行，看来是有设置过其他账号，再点击下方Lost your password?，试一试也没试出来账号是个啥，如图：


那咋办呢，唉！等等！刚刚不是拿到个dic后缀的字典文件嘛！！！怎么没想到去用呢！！！真的脑抽了！赶紧的！

这里看了下文件大小，鬼鬼，6.90MB的大小，这也太大了吧？！会不会有重复的？直接把文件放到sublime里面，ctrl-f查找users关键词，就能找到好多重复的！果然，要去重，直接把文件丢到Kali里，用命令:cat fsocity.dic | sort -u > fsc.dic ，去重后写入新的文件，发现去重后只有96.7kb大小了，那就方便很多了。

接着找可以派上用场的地方，由于不知道账号是多少，先直接到忘记密码那边找账号，用burpsuite抓包，放到intruder下，再用去虫好的字典进行爆破，如图：


慢慢等结果，喝杯小水或者泡杯咖啡什么的。

结果出来了，先根据Status状态码，看到有3个仅大小不同的elliot账号，看下响应状态信息，提示说邮件无法发送，看来账号是这个无疑了，只是功能不完善，如图：

目前账号知道了，那就再登录页面用同样的方法，通过字典爆破出密码。
坐等爆破结果，坐下来吃点小零食，舒服一下。
爆破出来后，同样根据Status发现字符串 ER28-0652 是密码，果断用于登录，如图：

嗯！还不错，登录进来了，根据以往的经验，WordPress有个404的文件可以编辑，通过写入恶意代码，再直接用菜刀直接连，来GetShell，并且一般都在一个叫Editor的栏目下，尝试找一下，找到了在Appearance->Editor栏目下，如图：

访问后发现，鬼鬼，代码都写好了？那还不简单？祭出无敌菜刀，直接连呗！如图：


哇哦！成功连接啦！开心嗷！哈哈哈！
然后去根目录的home目录下，发现有个可疑的robot目录，下面还有个密码文件，和第二个flag的txt文件，直接用菜刀访问flag文件读不出东西，应该有权限限制，看看第一个密码文件，如图：

字符串格式有点像htpasswd文件中的格式，先分开来解一下吧，用 john没破解出来，奇怪，不过用在线工具到破出来了，密码是a-z，如图：

这就好说了，直接用这账号登录靶机！如图：

看来方向没错！直接进来啦！啊哈哈哈哈~~，那直接去找刚才看到的那个Flag文件！如图：

第二个找到啦！那第三个在哪呢？哦！想起来了！现在用whoami看了下，并不是root用户，需要提权！提权方法很多，先找SUID吧，用命令：find / -user root -perm -4000 -print 2>/dev/null，如图：

上面的所有二进制文件都可以在root权限下运行，因为他们的owner是root，并且他们的权限中含有s。s权限使一般使用者临时具有该文件所属主/组的执行权限。看到其中有nmap！说不定可以用经典的Nmap来提权！赶紧查下资料，说明早期版本的Nmap(2.02到5.21）有交互模式，允许用户执行shell命令。先看下这个靶机的nmap版本是多少，如图：

正好在2.02到5.21之间！看来是可以用的！先用命令：nmap --interactive，进入交互模式。然后再用命令:!sh，进行成功提权！如图：

已经提权为root用户啦！那就直接进/root目录下，看到最后一个Flag了！目的就完成啦！如图：

这里要注意一下，如果/root文件夹下没有Flag文件，要找的话，可以用命令：find / -name “key-3-of-3.txt” -type f ，来找这个文件，也是可以找到的，如图：

以上就是整个渗透过程了！结束！：）

参考链接：
1、https://blog.csdn.net/qq_36119192/article/details/84872644
2、http://www.52bug.cn/hkjs/3897.html
3、https://blog.csdn.net/m0_37568814/article/details/82753281