Tryhackme 靶機入侵實作 – Mr. Robot CTF

項目名稱:Mr Robot CTF

Task.1 Connect to our network

這部分主要是在說如何連接上靶機 所以就直接跳過

Task.2 Hack the machine

Q1.What is key 1?

A:073403c8a58a1f80d943455fb30724b9

部屬靶機完成後 第一步就是掃描靶機
nmap -A <IP>
掃描可以看到開了Port 80 443 再看到題目一的提示是Robots
基本上可以確定Flag在robots.txt裡面
輸入上面的文字後就能直接拿到第一個Flag了
http://10.10.67.114/key-1-of-3.txt

Q2.What is key 2?

A:822c73956184f694993bede3eb39f959

在主頁面輸入join後會跑到一另一個終端畫面
但如果在這個畫面點一下F5的話就可以看到一個奇怪的畫面 感覺像是WP的頁面露出來
看到這個畫面後因為知道這個網站是WP架的 所以就直接輸入/wp-login就可以直接進到後台了
可以看到這是一個很標準的登入介面 但線索到這裡就斷了
還記得我們之前翻robots.txt有看到另外一個目錄嗎?
有一個叫做fscity.dic的目錄
輸入後可以得到一個文字檔
cat檔案後感覺像是一個字典檔?
先不管 到wp-login那邊試幾個弱密碼
結果發現輸入admin admin會出現Invalid username
這代表說可能會偵測Username是否正確
試到Elliot的時候 突然出現了ERROR: The password you entered for the username Elliot is incorrect.
這代表說Elliot有可能是一個正確的Username
用Burp把封包攔下來後把登入的那一串截給hydra爆破
但再那之前 先回頭看一下剛剛拿回來的字典檔
用grep搜尋123很明顯可以看到有重複的字串在干擾爆破
所以輸入下面指令來整理這串字典檔
sort fscity.dic | uniq > passwords.txt
可以很明顯看到整體變整齊乾淨很多了
接著就可以拿去餵hydra啦
sudo hydra -l elliot -P /home/attacker/TryHackme/Mr.Robot/passwords.txt -I 10.10.67.114 http-post-form "/wp-login.php:log=^USER^&pwd=^PASS^:The password you entered for the username"
結果出來了 密碼是ER28-0652
拿這串密碼去登入WP後可以看到已經進入了主控台
接著就是找機會把WebShell上傳後並反彈回來
經過一番摸索 我找到了Appearance裡面的Editor可以改網站原始碼
我注意到右上角有個404 Teamlate的網頁
點進去以後發現是顯示錯誤404的網頁
回到本機 cat php-reverse-shell.php
把整個檔案的原始碼都複製下來貼到網站上
最後再把IP跟Port改成自己要使用的就可以了
點Update File
回到本機監聽9000 Port
nc -lvnp 9000
接著在網站上隨便輸入東西讓網頁導向到404
回頭看到Terminal已經接收到Reverse Shell了
為了進階操控 所以用Python取得bash環境
python -c "import pty;pty.spawn('bin/bash')"
進到/home/robot/可以看到一個flag檔案
但可以看到沒有權限讀取
所以我們選擇開另一個檔案
可以看到是robot這個User的密碼Hash
丟到Crackstation.net可以直接破解密碼
接著提權至robot
su robot
提權成功
接著讀取key-2-of-3.txt
讀取成功

Q3.What is key 3?

A:04787ddef27c3dee1ee161b21670b4e4

輸入find指令查看可利用檔案
find / -perm -u=s -type f 2>/dev/null
可以看到nmap本來是不該出現的東西
但他出現在這個地方了
所以我們可以來利用他
nmap --interactive
!sh
whoami
成功取得root權限
到/root翻Flag
3個Flag都成功找到了

心得:

這台可以學到怎麼打WP跟hydra的使用 還有WebShell的使用方式跟一些漏洞利用 可以說是一台蠻適合初學者的靶機

免責聲明

未經事先雙方同意,使用工具攻擊目標是非法的.請遵守當地法律規範.開發者與本作者對此文章不承擔任何責任,也不對任何濫用或損壞負責.

This is only for testing purposes and can only be used where strict consent has been given. Do not use this for illegal purposes, period.

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

14 + 13 =

Back To Top
error: Content is protected !!