grotesque3靶机
信息收集
- 通过
nmap
扫描得到靶机开放22和80端口
- 使用目录扫描工具
gobuster dirsearch
也没扫到什么有用的目录
web渗透
- 信息收集了很久,也对web页面的唯一图片也进行隐写操作。也都没发现可以利用的信息
- 查看
wp
发现了图片的地图上隐藏了暗示md5的提示,再回想起web主界面的一句话,地图会给你一条光明的路,确实没有想到
- 将目录扫描字典内容进行md5加密,再次使用
gobuster
进行目录扫描,得到了一个目录
- 访问该目录发现没什么内容,怀疑是文件包含或者
webshell
文件
- 使用
fuzz
工具,对网页进行爆破查看文件包含的参数,得到purpose
- 文件包含
passwd
文件发现唯一的用户freddie
,尝试去查看用户目录下的ssh私钥文件,发现没有内容。服务器日志也没显示
获取权限
- 远程和本地文件包含可利用的文件失败后,只好对
freddie
用户进行ssh
爆破登录了 - 跑了一遍弱口令密码文件发现没结果,查看
wp
,还是要进行md5
加密,使用之前加密好的文件,再跑一次成功得到用户的密码。确实是跟md5杠上了
- 将得到的账号和密码进行登录,来到用户的
shell
freddie/61a4e3e60c063d1e472dd780f64e6cad
权限提升
- 查看了常见的提权方式,发现都没有可以提前的,
sudo suid 计划任务 内核提权 不安全的服务 文件 遗留密码 可写权限文件
- 想到之前用
pspy64
文件查看系统的执行进程。发现了使用root权限定时执行/smbshare
目录里的文件
- 靶机没有开放
445smb
服务端口,只能在本地查看使用smb
客户端查看可利用的目录,发现了grotesque
- 查看
smb
的配置文件cat /etc/smb/smb.conf
,发现groterque
路径就是/smbshare
而且还是可写入的
- 在靶机
shell
创建一个shell.sh
的反弹shell
的文件,使用put
命令上传到/smbshare
- 查看进程执行,等待反弹的
shell
- 来到root目录下查看flag
靶机总结
- 靶机难度挺高,主要是真想不到地图上这提示是需要md5加密在进行目录扫描的
- 学习到了将字典文件转换成md5加密后的文件
- 如果文件包含不能查看到一些有用的文件,就只好对密码文件中的用户进行暴力破解了
sudo suid 计划任务 内核提权 不安全的服务 文件 遗留密码 可写权限文件
都不能进行提权,可以使用pspy64
文件查看系统所执行的进程,可能会发现隐藏的定时任务- 对外没有开放
smb
服务,可以使用靶机的shell通过smb
客户端进行连接 smb
目录没有权限写入,就使用smb
客户端进行连接挂载好的smb
服务器,只要smb
配置文件给予可写入权限,就可以使用put
命令进行文件上传操作了