Ya hablamos en el POST anterior de la maquina para practicar pentesting de «Mr-Robot» y que resolviéndola nos dio por crear un Script en Python para enumerar los usuarios de aplicaciones WEB busca_Usuarios.py mediante peticiones POST.
Pues comentamos que publicaríamos nuestras notas al realizar esa búsqueda de bandera y como lo prometido es deuda aquí están. Están en formato PDF pues son las notas que voy tomando con cherryTree por lo que he creído bueno convertirlas a PDF y así también se ve como ir tomo notas cuando realiza un análisis de una maquina.
Te aconsejo que uses esas notas con cabeza, ya sea para descartarte en la búsqueda de las banderas o para ver otros caminos para lograrlas, la intención de esta publicación es aprender.
CTFs_MrRobotEn esta búsqueda de bandera «CTF» podemos encontrarnos con:
- Descubrimiento de la maquina «netdiscover»
- Enumeración de servicios con «Nmap»
- whatweb y nikto para el analisis de la web
- Configuración CMS WordPress
- wpscan para fuerza bruta de usuarios.
- Ataque con Backdoor en PHP.
- escalada de privilegios usando entre otros nuestro auxiliar de metaesploit «enum_vectores_escalada» que comentamos en nuestro post de como crear módulos de metaesploit.
Espero que te sea útil y publicaremos otras CTF en las que también intentaremos crear nuestros propios script y módulos de metaesploit, pues la idea de estos retos es divertirnos y aprender.