tryhackme-Mr Robot CTF(机器人先生)
信息收集
根据开放端口,首先对80
端口进行信息收集
默认在访问80
端口的时候会进行一段很炫酷的grup引导
,Linux
启动的信息,不过没什么用,一个伪终端,这里给了我们几个命令可以使用:
试了几个,没有太多有用的信息,感兴趣可以自己试一试,这里直接进行目录扫描
gobuster dir -u http://10.10.211.236/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x txt,html,php,zip,rar,bak,js -t 66
通过一段时间的扫描,得到很多目录,但是很多没有太大的用处,进过我的尝试,以下几个文件比较有用:
robots.txt
是一个很常用的文件- 还有一个特殊的文件
license.txt
通过扫描出来的wp-content
目录也可以看出这个网站也是一个wordpress
站点
访问robots.txt
如下
访问key-1-of-3.txt
得到第一个flag
下载fsocity.dic
得到一些没用的单词表,猜测可以能需要爆破靶机使用的字典,后续在做研究
继续访问license.txt
我也是找了很久才找到这个重要的信息,发现这个页面很长,右边有滚动条,往下发现base64
编码
base64
解密
得到用户名elliot
密码ER28-0652
这里虽然得到了用户名和密码,但是通过nmap
扫描的结果发现22
端口是close
的状态,一般扫描这个状态就是没有对外开放
刚刚通过目录扫描
得知这是一个wordpress
站点,尝试使用用户名和密码登录wordpress
后台,登录成功
http://10.10.211.236/wp-login.php
初始访问权限
熟悉wordpress
站点的都知道,可以修改主题中的php
文件,反弹shell
http://10.10.211.236/wp-admin/theme-editor.php
这里我将404.php
内容更改为php-reverse-shell.php
,本地使用nc -lvp 7777
进行监听等待靶机上线
更改成功后,需要手动访问404.php
文件,需要了解wordpress
后台的结构,主题中404.php的位置一般在:
/wp-content/themes/主题名/文件名
那么这里就是/wp-content/themes/twentyfifteen/404.php
,拼接后的url
为
http://10.10.29.64/wp-content/themes/twentyfifteen/404.php
成功获取权限
进入/home/robot
目录,发现key-2-of-3.txt
文件没有权限读取,但是password.raw-md5
文件可以读取
将password.raw-md5
很明显是一个hash
密码文件,将文件内容复制到kali
使用john
进行破解
john --format=Raw-MD5 hash.txt --wordlist=/usr/share/wordlists/rockyou.txt
得到密码为·robot
用户的密码为abcdefghijklmnopqrstuvwxyz
稳定SHELL
由于需要使用su
命令,需要使用稳定shell
python -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm
+Ctrl + Z
stty raw -echo; fg
成功得到key-2-of-3.txt
,第二个flag
权限提升
使用find / -perm -04000 2>/dev/null
查找suid
文件,发现nmap
,获得root
权限
nmap --interactive
得到key-3-of-3.txt