房间地址:https://tryhackme.com/room/mrrobot
一、信息收集
┌──(kali㉿kali)-[~]
└─$ nmap -sV -T4 10.10.231.157
Starting Nmap 7.93 ( https://nmap.org ) at 2023-06-15 02:40 EDT
Nmap scan report for 10.10.231.157
Host is up (0.30s latency).
Not shown: 997 filtered tcp ports (no-response)
PORT STATE SERVICE VERSION
22/tcp closed ssh
80/tcp open http Apache httpd
443/tcp open ssl/http Apache httpd
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 36.34 seconds
开放了80、443端口,访问网页我们可以看到一个简短的介绍,然后是一组可供选择的选项:
使用dirsearch工具扫描得到这个一些可用的信息,在 /robots下发现第一个key 我们还会得到一个名为“ fsocity.dic”的列表,其中包含潜在的用户名和密码。
使用之前通过robot文件信息泄露得到的字典文件(fsocity.dic)来爆破WP登录页面-以得到有效用户名;打开Burpsuitep,在WP登录页面随便输入一个用户名和密码,然后用bp抓取数据包并针对用户名进行爆破(指定使用 之前通过robots信息泄露所得到的字典文件fsocity.dic)。最后得到用户名Elliot
接下来使用刚刚得到的信息去爆破密码,最后得到密码是ER28-0652
└─$ wpscan --url http://10.10.231.157/wp-login.php --usernames Elliot --passwords /home/kali/Downloads/fsocity.dic
使用之前得到的 用户名+密码(Elliot + ER28-0652) 登录WP页面,成功进入到WP后台管理页面之后 选择查看appearance/Themes功能点上传码子之后,在Media下找到上传的码子然后访问上线。
二、权限提升
使用python实现交互式命令行
python -c "import pty; pty.spawn('/bin/bash')"
发现无法读取第二个key,它属于robot用户由图结果可知:robot的登录凭据已被加密处理;我们使用 https://crackstation.net/ 进行在线解密即可:
解密结果-即robot用户的登录凭据为:
abcdefghijklmnopqrstuvwxyz 切换robot用户并即可查看第二个key
接下来就是提权来获取第三个值,使用linpeas梭哈,得到存在nmap的suid提权我们可以访问 https://gtfobins.github.io/ 并查看nmap程序的提权方法,最后一个key在root目录下
评论区