TryHackMe

Mr. Robot

Showcase técnico da room Mr. Robot, organizado a partir do meu relatório local de conclusão para apresentar cadeia de exploração, evidências reais do laboratório e principais aprendizados em Cybersecurity.

TryHackMe Nmap WordPress Reverse Shell PrivEsc Repositório GitHub

Evidência real da etapa final do laboratório Mr. Robot

Escopo do laboratório

reconhecimento inicial com nmap
enumeração web via curl e descoberta em robots.txt
comprometimento do WordPress em ambiente controlado
reverse shell e pós-exploração
escalação final até root

Cadeia de exploração

wordlist exposta publicamente
validação de usuário no login WordPress
brute force controlado com script e alternativa em Hydra
payload em editor de tema para obter shell
quebra de hash MD5 e abuso de binário SUID

Ferramentas utilizadas

nmap
curl
gobuster
python3 + requests
hydra
hashcat
netcat

Aprendizados

robots.txt pode vazar mais do que deveria
WordPress com editor habilitado aumenta muito o risco após comprometimento
hash MD5 sem salt ainda é um problema sério
binários SUID precisam entrar cedo na triagem de privilege escalation
um bom writeup transforma laboratório em evidência técnica reaproveitável

Evidências do laboratório

Capturas reais usadas para compor o showcase público, junto do fluxo técnico resumido da room.

Evidência da etapa final do laboratório Mr. Robot — Etapa final do laboratório, usada como capa do showcase.

Evidência intermediária do laboratório Mr. Robot — Captura intermediária com shell e enumeração em ambiente controlado.

Fluxo técnico resumido do laboratório Mr. Robot — Resumo visual da cadeia técnica usada na apresentação pública.

Repositório público: github.com/sm7f/mr-robot-tryhackme-showcase
Base local do showcase: /Project/CTFs-Concluidas/mrrobot_relatorio.md