vulnhub靶场之【grotesque】三

前言

靶机：grotesque-3 192.168.1.44

攻击：kali 192.168.1.16

都是虚拟机环境，桥接模式

主机发现

使用arp-scan -l或者netdiscover -r 192.168.1.1/24搜索

在这里插入图片描述

信息收集

使用nmap扫描

防止有遗漏，再扫描全端口

在这里插入图片描述

网站信息收集

访问80界面，有个超链接，查看页面源代码

在这里插入图片描述

是定位的另一个图片

在这里插入图片描述

访问后，是这样的一张图片

在这里插入图片描述

先下载，然后使用目录扫描工具，测试看网站目录，直接扫描并无内容

现在大多数的网站目录其实都经过编码，有的是base64编码，有的是md5加密，反转就是让目录不是那么容易被扫描

寻找一番，这里可能是提示，md5加密

在这里插入图片描述

假设网站目录都md5加密，那么就需要把目录字典，进行md5加密

for i in $(cat /usr/share/wordlists/dirb/big.txt);do echo $i | md5sum >>dirmd5.txt

不过试了两个字典后，还是没有，开始怀疑判断错误，看网上的wp，确实如此，还是字典问题。啧

这里需要注意，看了一下生成的字典，会在每一行加入 -，两个空格，所以先把这个替换掉

awk '{sub(/  -$/,"");print}' dirmd5.txt >1.txt &&mv 1.txt dirmd5.txt

在这里插入图片描述

漏洞寻找

找到f66b22bf020334b04c7d0d3eb5010391.php，浏览器访问并无返回，这里只能猜测了，一般都是有参数进行接收的，如果设置的话，前面知道一个图片的路径，测试能否通过这样查看

ffuf -w /usr/share/wordlists/dirb/big.txt -u http://192.168.1.44/f66b22bf020334b04c7d0d3eb5010391.php?FUZZ=atlasg.jpg -c -fs 0

过滤掉返回没有字节的，剩下的可能就是参数

在这里插入图片描述

说明文件包含是有的，那么测试路径遍历是否可行

在这里插入图片描述

可以，再测试是否可获得/etc/shadow，显示空白，还是没有权限

尝试获取其中一个用户的ssh私钥和公钥，发现不行，可能没权限或没文件

http://192.168.1.44/f66b22bf020334b04c7d0d3eb5010391.php?purpose=file:///etc/passwd

如果file://不能使用，当然这里还可以使用base64编码取出

http://192.168.1.44/f66b22bf020334b04c7d0d3eb5010391.php?purpose=php://filter/read=convert.base64-encode/resource=/etc/passwd

当然这种是以base64编码的形式，所以要再解码

密码爆破

现在获取的信息有限，好像到这里没有什么可以利用了，这个估计可能都是md5，所以可以尝试进行密码爆破，就使用这个生成的md5字典

hydra -l freddie -P dirmd5.txt -vV -f ssh://192.168.1.44

在这里插入图片描述

爆破成功，用户freddie，密码61a4e3e60c063d1e472dd780f64e6cad

使用ssh登录

在这里插入图片描述

去.ssh看下，发现确实是没有权限读取

在这里插入图片描述

提权

尝试使用find寻找具有SUID的文件，没有可直接利用的

在这里插入图片描述

使用find尝试寻找关键字user、pass、back等，无任何特殊文件

日志文件也无权访问。查看网络配置及连接

只有一个网络地址，没有容器

在这里插入图片描述

发现两个本地开放的端口

在这里插入图片描述

smb利用

这两个端口445和139大致都是共享服务SMB

既然在本地有，那么测试本地是否可连接，可连接，并且有一个明显的共享grotesque

smbclient -L //地址

这里因为不知道密码，所以是直接回车的，没想到不需要密码

在这里插入图片描述

连接指定的共享进行查看

在这里插入图片描述

监控pspy

发现里面没有东西，啧，继续信息收集吧，尝试查看/etc/crontab，没发现什么，使用top等命令也没有，尝试下载一个pspy64来进行更详细的监控

项目地址：https://github.com/DominicBreuker/pspy

然后传输到靶机上，这里是采用scp，上传是文件在地址前，下载是地址在文件前

在这里插入图片描述

在靶机上运行该文件，首先使用chmod加执行权限，然后直接运行即可进行监听

在这里插入图片描述

发现有使用sh执行smbshare中的所有文件，进一步观察，发现一分钟执行一次

在这里插入图片描述

查看这个目录，大概率就是SMB的共享路径

在这里插入图片描述

搞一个反弹shell，写入文档，然后上传进文件夹中，直接在这个文件夹中编辑没有权限

在这里插入图片描述

清除痕迹

在这里插入图片描述

总结

网站信息提供的md5加密，这个贯穿到ssh爆破
对于awk、sed、gobuster、ffuf越熟练越好
对于smb服务的一些了解，以及一些命令
对于pspy64在不需要root也能监控很多的情况有一点了解
反弹shell为什么能够提权到root，要搞清楚

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.xdnf.cn/news/34971.html

如若内容造成侵权/违法违规/事实不符，请联系一条长河网进行投诉反馈，一经查实，立即删除！