Vulnhub mrRobot Walkthrough boot2root

mrRobot

     From 2015 to 2019... 我在2020头几天刷完了这部剧。个人觉得它的一大亮点在于细节部分描述的很真实，并且通过很多表现手法向观众传递了圈子里的一些核心的精神。当然配乐、艺术表现、氛围营造也是很好的。

What will cover:

     Password Attack (online and local) / wordpress / SUID binary Privilege Escalation

Lets Begin:

    nmap

nmap full tcp default script scanning

可以看到22端口被封了，想要SSH连基本是行不通的。那么我考虑可能会有webshell哦......

80和443，基本猜到mrrobot是有vulnerable webapp......

快速检查：

https 443

      发现443就是多了个自签名的证书，内容和80端口上跑了是一样的。

javascript

  等待加载完发现就是一些JS的东西。只能做做信息收集或源代码检查。简单收集了一些信息，转去开始扫目录了

目录

   发现有wordpress，wpscan扫一波：

wpscan --url http://192.168.56.140/ --wp-content-dir http://192.168.56.140/wp-content -e au -e avp -at

wpscan

plugin和theme居然一个都没爆出来，连username也没有。不过有两个文件引起注意。

robots.txt还没看呢......

找到key

   果然key在这里啊。把它下载下来。其中fsocity.dic是一个字典，key是一个md5的hash

hash-identifier

惯性地去用这个字典去爆破这个key但是失败了，尝试换rockyou也失败了......

john

有字典，但居然毫无用处？？？马上想到wordpress的登录框。

wp-admin

OK 在爆破之前先在看一眼字典：

大量重复

Exploit

   发现有大量重复的内容，于是把字典整理一下生成wordlist.txt，然后可以用多种工具进行form表单爆破，我这里使用hydra:

hydra 192.168.56.140 -s 0 http-form-post "/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=Invalid username." -L /root/test/wordlist.txt -p test -I

找到合法的username

   Bingo! 果然字典在这里派上用场。迫不及待，随便拿一个username再爆一爆密码吧，这次我使用wpscan：

wpscan --url http://192.168.56.140/wp-login.php --wp-content-dir http://192.168.56.140/wp-content --username Elliot --wordlist /root/test/wordlist.txt --threads 5

发现密码

   果然找到了密码。到了这一步接下来要发生什么其实已经猜得到了。

webshell

顺利拿了个webshell。

spawn tcp shell

   spawn 一个python tcp shell 回来。

Privilege Escalation

   接下来先做了一些简单的枚举：

枚举用户

   家目录下找到robot的hash

robot

   拿到john爆破得到一个密码，尝试登陆成功：

key2

   顺利拿到第二个key，但还不能访问/root还需要继续提权：

great

   查SUID的时候发现有nmap......

the last key

   OK 最后一个key found!