Mr Robot
- 簡介
- Based on the show, Mr. Robot.(電視劇黑客軍團)
- This VM has three keys hidden in different locations. Your goal is to find all three. Each key is progressively difficult to find.
- The VM isn't too difficult. There isn't any advanced exploitation or reverse engineering. The level is considered beginner-intermediate.
- 下載鏈接
- Download (Mirror): https://download.vulnhub.com/mrrobot/mrRobot.ova
- Download (Torrent): https://download.vulnhub.com/mrrobot/mrRobot.ova.torrent
- 普通下載速度較慢,使用IDM下載到百分之30左右無法繼續連接,可能是個別情況,后來使用FreeDownloadManager成功下載
- 在匯入虛擬機后發現,它默認的網路模式為橋接,橋接在物理機的無線網卡上,為了方便我將Kali的網路模式也改為橋接在無線網卡上,這樣在探測存活主機時能夠成功探測到、
- 一些參考的Walkthrough,在原網站上還有更多的可以參考查閱
-
https://bryceandress.github.io/2016/07/02/Mr-Robot-CTF.html
-
https://www.linkedin.com/pulse/vulnerable-vm-mr-robot-1-ctf-walkthrough-dehvon-curtis
-
- 另外需要注意的一點是,在這個虛擬機的描述中提到,
-
- 準備階段
- 打開靶機以及Kali
- 靶機
-
- Kali
-
- 靶機
- 探測存活主機,使用兩種方式
- netdiscover
- 同樣是PCS的那個,地址為192.168.1.15
- 同樣是PCS的那個,地址為192.168.1.15
- arp-scan -l
-
- netdiscover
- 使用nmap探測開放埠及服務
- 發現SSH服務關閉,還是開放了HTTP服務說明可能有這么一個網站
- 發現SSH服務關閉,還是開放了HTTP服務說明可能有這么一個網站
- 打開靶機以及Kali
- 前期的了解準備
- 訪問這個Web服務看看有什么
- 感徑訓挺好玩的樣子,開始自動登錄root,后面出現了一段話,提示可以輸入下面的命令
- 感徑訓挺好玩的樣子,開始自動登錄root,后面出現了一段話,提示可以輸入下面的命令
- 挨個嘗試一下看看
- prepare
- 是一個視頻,來源于電視劇黑客軍團,后面的應該也都是
- 是一個視頻,來源于電視劇黑客軍團,后面的應該也都是
- wakeup 還是個視頻
- inform
- 就是一些圖片和話語
- 就是一些圖片和話語
- question
- 一些圖片
- join
- 提示輸入入伙郵箱什么的
- 提示輸入入伙郵箱什么的
- 這些具體的資訊或許會有用
- prepare
- 同樣的嘗試使用工具探測一下,nikto -h 192.168.1.15
- 算是有所發現的
- 探測到了蠻多東西的,尤其是關于wordpress的相關資訊
- easily to brute force file names,在提供的網址可以查看相關的資訊,有安裝版本,admin登錄等等
- 探測到了蠻多東西的,尤其是關于wordpress的相關資訊
- 在使用dirb時,發現很多目錄
- 針對性的嘗試一下,比如readme,admin,index,login,robot,robots.txt,重要點的:http://192.168.1.15/wp-admin/
- 針對性的嘗試一下,比如readme,admin,index,login,robot,robots.txt,重要點的:http://192.168.1.15/wp-admin/
- 進行目錄的探索,發現第一個flag
- robots.txt
- 起初在admin下的txt檔案中沒有看到有用的,原來是查看錯了,現在已經找到了第一個flag
- 訪問這個user-agent
- 是一個代碼檔案,可以保存看看
- 像是一個字典,用戶名之類的吧
- 是一個代碼檔案,可以保存看看
- 直接訪問flag
- 得到第一個flag
- 得到第一個flag
- 起初在admin下的txt檔案中沒有看到有用的,原來是查看錯了,現在已經找到了第一個flag
- index.html,index.php,打開后的效果都一致,沒有什么顯示的東西,查看原始碼
- 其中有一句提示 的注釋 是一個提示升級瀏覽器的話語
<!--[if lt IE 9]> <p >You are using an <strong>outdated</strong> browser. Please <a href="http://browsehappy.com/">upgrade your browser</a> to improve your experience.</p> <!-- Google Plus confirmation -->
- 其中有一句提示 的注釋 是一個提示升級瀏覽器的話語
- readme
-
- /admin/video
- 沒有權限
- 沒有權限
- /wp-login,和/wp-admin-login是一樣的
-
- robots.txt
- 算是有所發現的
- 訪問這個Web服務看看有什么
- 進一步探索
- 前期知道并發現是wordpress平臺,可以進行一定的嘗試
- 通過查閱資料,可以聯想到之前得到的一個類似于用戶名字典的檔案
- The great/horrible thing about Wordpress is that it tells you when you have a correct username and when you entered a username that does not exist
- 這部電視劇的主人公叫Elliot,可以作為用戶名嘗試
- 發現確實有這么個用戶
- 發現確實有這么個用戶
- 接著可以使用wpscan工具進行掃描,方法:https://www.freebuf.com/sectool/174663.html
- 在知道有一個用戶名為elliot后可采用wpscan 爆破出密碼,使用的字典就是下載好的fsocity.dic
- wpscan --url http://192.168.1.15 -P ~/Download/fsocity.dic -U elliot
- 基本的掃描,版本資訊什么的
-
- 接著是爆破的程序,可能是因為在虛擬機中比較慢,足足有半個小時,最后得到結果
- 得到了密碼ER28-0652
- 得到了密碼ER28-0652
- 或者使用burpsuite抓包,進行暴力破解,用戶名和密碼都可以進行破解
- 在知道有一個用戶名為elliot后可采用wpscan 爆破出密碼,使用的字典就是下載好的fsocity.dic
- 通過前面的破解,得到了一個用戶名:Elliot 及其密碼:
- 登錄界面
-
- 登錄界面
- 利用反彈shell獲取權限
- word press由PHP開放,我們需要一個php的shell
- 使用命令查找關于php-reverse的shell
- find / -name php-reverse-shell.php
- 找到了幾個,查看試試
- 找到了幾個,查看試試
- find / -name php-reverse-shell.php
- 使用含有wordpress的那一個,在,editor中編輯404.php檔案,替換為找到的shell,設定好IP和port
- 點擊update
- 點擊update
- 在Kali上監聽相應的埠,并在瀏覽器中訪問修改過的404.php,得到權限
- 注意監聽的命令與之前的有細微的差別
- 注意監聽的命令與之前的有細微的差別
- 獲得權限后瀏覽目錄找尋flag
- 首先讀取一下靶機的密碼
- cat /etc/passwd,發現有robot這個用戶,進入這個用戶的 目錄
- cat /etc/passwd,發現有robot這個用戶,進入這個用戶的 目錄
- 在robot中找到了檔案,還有一個password檔案
- 發現沒有權限查看
- 并且是robot的檔案
- 發現沒有權限查看
- 根據提示采用MD5解密那一段字串
- 得到robot的密碼是a~b
- 得到robot的密碼是a~b
- 嘗試使用新的用戶和密碼登錄
- su robot
- 提示需要從終端運行
- 提示需要從終端運行
- 想到之前使用python可以打開終端,進行嘗試,最終得到了第二個flag
- 記住python -c 'import pty'pty.spawn("/bin/bash")'用到的比較多 注意單引號的位置
- 記住python -c 'import pty'pty.spawn("/bin/bash")'用到的比較多 注意單引號的位置
- su robot
- 首先讀取一下靶機的密碼
- Linux提權
- Linux提權——利用可執行檔案SUID https://www.anquanke.com/post/id/86979
- 搜索符合條件的進行提權 三種搜索的方式
- find / -perm -u=s -type f 2>/dev/null
- find / -user root -perm -4000 -exec ls -ldb {} \;
- find / -user root -perm -4000 -print 2>/dev/null
- 搜索具有root權限的程式
- nmap vim find Bash More Less Nano cp等,目前使用過nmap pip pyton
- 還可以利用find
-
- 搜索符合條件的進行提權 三種搜索的方式
- rbash繞過
- Linux提權——利用可執行檔案SUID https://www.anquanke.com/post/id/86979
- 嘗試獲得root權限
- 起初發現robot用戶不能訪問一些目錄
-
- 探索其他目錄,尋找可以有屬主為oot的東西,使用find命令
- find / -user root -perm -4000 -print 2>/dev/null
-
- find / -user root -perm -4000 -print 2>/dev/null
- 找到一個nmap
- 據說是老版本,而nmap一般需要root權限 kali上的版本要高很多
- 據說是老版本,而nmap一般需要root權限 kali上的版本要高很多
- 了解可知,nmap(2.02至5.21)具有互動模式,interactive這個命令 允許用戶執行Shell命令
- 使用nmap --interactive 進入互動模式,輸入!sh進入終端模式
-
- 在互動模式輸入help查看道有一條引數可以執行shell命令,,sh就代表的是shell
-
- 使用nmap --interactive 進入互動模式,輸入!sh進入終端模式
- 最終在root目錄下找到最后一個flag
-
- 起初發現robot用戶不能訪問一些目錄
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/6594.html
標籤:其他