tryhackme-Mr Robot CTF(机器人先生)

信息收集

根据开放端口,首先对80端口进行信息收集
默认在访问80端口的时候会进行一段很炫酷的grup引导Linux启动的信息,不过没什么用,一个伪终端,这里给了我们几个命令可以使用:

试了几个,没有太多有用的信息,感兴趣可以自己试一试,这里直接进行目录扫描

gobuster dir -u http://10.10.211.236/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x txt,html,php,zip,rar,bak,js -t 66

通过一段时间的扫描,得到很多目录,但是很多没有太大的用处,进过我的尝试,以下几个文件比较有用:

  1. robots.txt是一个很常用的文件
  2. 还有一个特殊的文件license.txt
    通过扫描出来的wp-content目录也可以看出这个网站也是一个wordpress站点

访问robots.txt如下

访问key-1-of-3.txt得到第一个flag

下载fsocity.dic得到一些没用的单词表,猜测可以能需要爆破靶机使用的字典,后续在做研究

继续访问license.txt

我也是找了很久才找到这个重要的信息,发现这个页面很长,右边有滚动条,往下发现base64编码

base64解密

得到用户名elliot密码ER28-0652

这里虽然得到了用户名和密码,但是通过nmap扫描的结果发现22端口是close的状态,一般扫描这个状态就是没有对外开放

刚刚通过目录扫描得知这是一个wordpress站点,尝试使用用户名和密码登录wordpress后台,登录成功

http://10.10.211.236/wp-login.php

初始访问权限

熟悉wordpress站点的都知道,可以修改主题中的php文件,反弹shell

http://10.10.211.236/wp-admin/theme-editor.php

这里我将404.php内容更改为php-reverse-shell.php,本地使用nc -lvp 7777进行监听等待靶机上线

更改成功后,需要手动访问404.php文件,需要了解wordpress后台的结构,主题中404.php的位置一般在:
/wp-content/themes/主题名/文件名
那么这里就是/wp-content/themes/twentyfifteen/404.php,拼接后的url

http://10.10.29.64/wp-content/themes/twentyfifteen/404.php

成功获取权限

进入/home/robot目录,发现key-2-of-3.txt文件没有权限读取,但是password.raw-md5文件可以读取

password.raw-md5很明显是一个hash密码文件,将文件内容复制到kali使用john进行破解

john --format=Raw-MD5 hash.txt --wordlist=/usr/share/wordlists/rockyou.txt

得到密码为·robot用户的密码为abcdefghijklmnopqrstuvwxyz

稳定SHELL

由于需要使用su命令,需要使用稳定shell

  1. python -c 'import pty;pty.spawn("/bin/bash")'
  2. export TERM=xterm + Ctrl + Z
  3. stty raw -echo; fg

成功得到key-2-of-3.txt,第二个flag

权限提升

使用find / -perm -04000 2>/dev/null查找suid文件,发现nmap,获得root权限

nmap --interactive

得到key-3-of-3.txt

posted @ 2024-03-06 19:48  Junglezt  阅读(60)  评论(0编辑  收藏  举报