下载链接：

Mr-Robot: 1 ~ VulnHub

安装：

打开vxbox，菜单栏----管理----导入虚拟电脑

选择下载完的ova文件，并修改想要保存的位置（也可以保持默认位置）

导入完成后可以根据自己的情况去配置网络链接方式

完成后即可打开虚拟机

正文：

先用nmap扫描靶机ip

nmap -sn 192.168.1.1/24

获取到靶机ip后，对靶机的端口进行扫描，并把结果输出到Mr-Robot1文件夹下，命名为port方便后续查看

nmap -p- 192.168.1.5 -r -PN -oA Mr-Robot1/port

（-p-：对所有端口进行探测

   -PN：用于禁用主机发现。这些参数告诉Nmap不要执行主机存活检测，而是直接扫描指定的目标

    -oA：输出到指定位置

     -r：连续扫描端口，并在扫描过程中随机排序目标端口。这可以帮助减少被网络防御

系统检测到的风险。

）

对端口指纹进行详细探测,并把结果输出到SickOS文件夹下，命名为server方便后续查看

nmap -p 22,80,443 192.168.1.5 -sC -sV -r -O --version-all -A -oA Mr-Robot1/server

 （-p：对指定的端口进行探测

   -sV：版本信息

   -sC：默认脚本扫描

    -A：启动Os检测，版本检测，脚本扫描和traceroute

   -O：探测操作系统信息

   --version-all：尽可能多的探测信息）

访问80端口

WOW!  很炫酷啊

查看源代码并没有发现什么东西，我们对目录进行扫描看看(我选择只输出状态码为200的目录)

dirsearch -u "192.168.1.5" -I 200

这几个目录看来是有点东西的

访问admin目录，发现一直在刷新页面

那先访问/wp-login页面看看

是一个wordpress的登陆界面，经过bp插件测试（burp bounty pro），并没有sql注入漏洞

我们再去访问下其他目录，看有没有可以利用的东西

访问robots.txt目录

给到了两个地址，我们分别进行访问

访问第一个地址，发现下载了个文件

第二个地址则是我们需要找的密钥（该靶场一共需要找到三个密钥）

我们查看第一个下载的文件

看来我们可以用该文件对wp进行爆破

该文件一共有858160个数据

bp爆破：

如果我们对账号密码分别进行爆破，那估计时间就无法估量了，好在wp可以进行用户名枚举

在该位置，我们随便输入用户名就会提示用户名或者邮箱错误

那我们在此用bp进行抓包爆破用户名

右键发送到Intruder，进行爆破

我们选择狙击手模式（Sniper）进行单个爆破，然后选择user_login后的你所输入的用户名，点击右边的  添加payload（add）

然后选择上方的payload，并选择从文件加载，选择我们之前下载的文件

然后点击右上角的开始攻击

点击状态码，让他改变排序方式

我们发现当用户名为Elliot时，状态码改变了，那么该用户名大概率是存在的

我们返回刚才的页面对该用户进行尝试

看来该用户确实存在

我们再用同样的方法进行密码爆破

bp抓登录包，然后再次发送到Intruder，只不过这次设置的payload位置为pwd后方的参数，用户名在我们刚才枚举时已经知道了，所以不需要再设置

经过长达两个小时的爆破，我们终于得到密码了(T^T)

我们同样是点击状态码，改变排序方式，得到密码

至此我们得到了账号密码  Elliot:ER28-0652

登录成功，查看有没有上传点可以利用一下

获取shell：

我们可以在该位置改变一下语言，方便我们进行渗透

经过上传点的测试，我们发先在外观---编辑  页面可以直接编辑php代码

那可以直接在这里编辑好我们的木马文件，然后更新文件

在kali的/usr/share/webshells/php目录下默认有我们需要的木马文件，我们也可以进行自己编写

我们将改代码复制到页面编辑位置，并修改返回的ip地址以及端口（需要先在kali中打开nc进行端口监听再更新文件）

nc -lvvp 8080

（IP地址为kali ip）

我们选择404.php模板进行修改（该php页面可能比较容易访问，所以我们先进行尝试）

更新完文件后我们尝试对该文件进行访问

返回到nc界面，发现反弹成功

提权：

查找具有 Setuid 权限的文件的命令

find / -perm -u=s -type f 2>/dev/null

发现有个nmap，看来可以不用查看计划任务了

也可以在该网站中查看其他可以利用suid进行提权的文件（GTFOBins）

在这里我们可以搜索nmap，然后查看suid的提权操作

最后经过测试，我们可以使用该命令进行提权操作

/usr/local/bin/nmap --interactive

!sh

提权成功