g03m0nVulhub - Mr.Robot
Description
Link lab tại đây
Step
Reconnaissance
Đầu tiên ta sử dụng arp-scan để quét các địa chỉ IP có trong dải mạng.
Nhận thấy có một IP lạ là 192.168.134.136.
Sử dụng nmap để kiểm tra các dịch vụ đang mở trên IP đó
Có thể thấy port 80 đang sử dụng Apache httpd và port 22 là SSH.
Enumeration
Đầu tiên, truy cập vào endpoint /robots.txt ta có thể thấy key 1/3 và một file fsocity.dic. Đây có thể là file từ điển để dùng cho một cuộc tấn công brute force nào đó.
Tiếp theo, sử dụng nikto tool để scan tất cả dirrectories của trang web.
Tìm thấy endpoint /wordpress => Trang web sử dụng Wordpress.
Sử dụng wpscan để brute force username/password.
Exploitation
Ta truy cập endpoint /fsocity.dic để tải file từ điển về máy.
Xử lý file để rút ngắn từ điển bằng query:
cat fsocity.dic | sort -u > dic.txt
Tiếp theo. ta đi tìm username bằng query:
wpscan --url http://192.168.134.136 --enumerate u --users-list dic.txt
Tìm password với username vừa tìm được là elliot:
wpscan --url http://192.168.134.136/ --usernames elliot --passwords dic.txt
Ta thu được username/password: elliot/ER28-0652
Vì Elliot là quản trị viên của trang WordPress nên có thể chỉnh sửa bất cứ điều gì.
Tiến hành edit file 404.php bằng php-reverse-shell:
Lắng nghe tại port 9001 ở máy attacker bằng query:
nc -nvlp 9001
Refresh lại trang web như hình:
Reverse thành công.
Tìm được password của user robot nhưng nó bị hash bằng md5
Ta crack md5 tại CrackStation
Đăng nhập user robot.
Tìm được key 2/3.
Privilege Escalation
Ta tìm tất cả các file thực thi có quyền suid bằng query:
find / -perm -u=s -type f 2>/dev/null
Ta tìm được /usr/local/bin/nmap.
Truy cập GTFOBins
nmap --interactive có thể được sử dụng để thoát ra khỏi các môi trường bị hạn chế bằng cách tạo ra một interactive system shell:
Tìm được key 3/3.