mrRobot
???? From 2015 to 2019... 我在2020頭幾天刷完了這部劇鹰晨。個(gè)人覺得它的一大亮點(diǎn)在于細(xì)節(jié)部分描述的很真實(shí)预侯,并且通過很多表現(xiàn)手法向觀眾傳遞了圈子里的一些核心的精神矿辽。當(dāng)然配樂芭毙、藝術(shù)表現(xiàn)嘱丢、氛圍營造也是很好的。
What will cover:
???? Password Attack (online and local) / wordpress / SUID binary Privilege Escalation
Lets Begin:
??? nmap
可以看到22端口被封了伟桅,想要SSH連基本是行不通的敞掘。那么我考慮可能會(huì)有webshell哦......
80和443,基本猜到mrrobot是有vulnerable webapp......
快速檢查:
????? 發(fā)現(xiàn)443就是多了個(gè)自簽名的證書楣铁,內(nèi)容和80端口上跑了是一樣的玖雁。
? 等待加載完發(fā)現(xiàn)就是一些JS的東西。只能做做信息收集或源代碼檢查盖腕。簡單收集了一些信息赫冬,轉(zhuǎn)去開始掃目錄了
?? 發(fā)現(xiàn)有wordpress浓镜,wpscan掃一波:
wpscan --url http://192.168.56.140/ --wp-content-dir http://192.168.56.140/wp-content -e au -e avp -at
plugin和theme居然一個(gè)都沒爆出來,連username也沒有劲厌。不過有兩個(gè)文件引起注意膛薛。
robots.txt還沒看呢......
?? 果然key在這里啊。把它下載下來补鼻。其中fsocity.dic是一個(gè)字典哄啄,key是一個(gè)md5的hash
慣性地去用這個(gè)字典去爆破這個(gè)key但是失敗了,嘗試換rockyou也失敗了......
有字典风范,但居然毫無用處咨跌??硼婿?馬上想到wordpress的登錄框锌半。
OK 在爆破之前先在看一眼字典:
Exploit
?? 發(fā)現(xiàn)有大量重復(fù)的內(nèi)容,于是把字典整理一下生成wordlist.txt加酵,然后可以用多種工具進(jìn)行form表單爆破拳喻,我這里使用hydra:
hydra 192.168.56.140 -s 0 http-form-post "/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=Invalid username." -L /root/test/wordlist.txt -p test -I
?? Bingo! 果然字典在這里派上用場哭当。迫不及待猪腕,隨便拿一個(gè)username再爆一爆密碼吧,這次我使用wpscan:
wpscan --url http://192.168.56.140/wp-login.php --wp-content-dir http://192.168.56.140/wp-content --username Elliot --wordlist /root/test/wordlist.txt --threads 5
?? 果然找到了密碼钦勘。到了這一步接下來要發(fā)生什么其實(shí)已經(jīng)猜得到了陋葡。
順利拿了個(gè)webshell。
?? spawn 一個(gè)python tcp shell 回來彻采。
Privilege Escalation
?? 接下來先做了一些簡單的枚舉:
?? 家目錄下找到robot的hash
?? 拿到j(luò)ohn爆破得到一個(gè)密碼腐缤,嘗試登陸成功:
?? 順利拿到第二個(gè)key,但還不能訪問/root還需要繼續(xù)提權(quán):
?? 查SUID的時(shí)候發(fā)現(xiàn)有nmap......
?? OK 最后一個(gè)key found!
