Grotesque 1.0.1靶机
https://www.vulnhub.com/entry/grotesque-101,658/
信息收集
- 通过nmap扫描得到靶机开放
66
和80
端口,对66
端口更深一步扫描发现也是一个运行http
的网站
- 使用目录扫描工具扫描发现80端口没什么内容,66端口信息比较多
web 66端口渗透
- 访问80端口的网站,发现页面直接无法正常访问
- 访问66端口,发现主页讲的是常见的漏洞,一些命令和工具链接,访问扫描出来的文件,发现没有可以利用的,再对目录更进一步扫描也没发现有用文件
- 点击网页的加深字体,发现下载了一个压缩包
- 查看压缩包内容,发现一个文件夹和压缩包名一样,点击进入发现都是md的文本文件,随便点开几个没发现有什么特别的地方
- 文件的内容都差不多一致,怀疑会有隐藏内容藏在某个文件内,选择压缩前文件大小降序,查看最大的文件发现了80端口隐藏目录的提示
web 80端口渗透
- 访问该目录,发现是熟悉的
wordpress
的cms
框架
- 直接使用
wpscan
工具进行后台用户名枚举,得到一个用户
、
- 但是对密码进行暴力破解时发现不成功,想起前天做的
grotesque3
需要进行md5
加密,难道是漏下了提示,这里也需要吧
-
查看了wp,发现需要计算一个人的歌词的md5值作为密码进行登录,意想不到啊
-
在网站源码发现了对图片路径进行注释
- 访问图片发现提示一个人名、
- 网站上寻找该人的链接,发现了此人的歌词
- 将歌词保存到文件中,使用
md5sum
计算歌词的md5值
获取权限
- 使用账号密码成功登录
wp
后台,也对wp见怪不怪了,来到修改文件代码的界面,在404.php
文件中添加反弹shell
- 可以直接访问
404.php
文件或者修改网站的参数,导致报错触发404.php,进而执行反弹shell
权限提升
- 对于有
cms
框架的网站,首先就去查看网站的配置文件,在里面发现了一个账号和密码
- 查看passwd文件,查看靶机的用户名,发现和配置文件的用户名一致
- 使用账密成功切换到
raphael
用户下,切换交互式shell
- 在用户目录下,发现了一个隐藏的
.kdbx
文件,这在之前做DriftingBlues5
有遇到过,看着名字差不多就是存放着root的密码了
- 测试发现靶机不存在
keepass2john
命令,尝试将.kdbx
文件下载到靶机内,将其复制到网站目录下显示权限不足
- 还准备把工具目录放到网站上,靶机
wget
下载了。但又想到可以使用python
在当前目录开启服务器,本机使用wget
下载
- 使用
keepass2john
转换成hash
值之后,再使用john
破解得到密码
- 来到专门查看
.kdbx
的网站https://app.keeweb.info/
,添加文件,输入密码即可查看.kdbx
的内容,发现文件中有着四个root密码。值得一提wget
下载的是.
开头的隐藏文件,可以将重命名去掉.
,方便添加文件
- 经过测试,发现第三个密码成功登陆到root
- 来到root目录下查看flag,结束
靶机总结
- 查看网站上醒目的标识,可能会有不小的收获
- 有着很多相同文件内容的文件夹,要怀疑其中就有隐藏内容的文件,按照占内存大小排序,可能会发现第一个文件中隐藏着某些信息
- 这个把歌词转换成md5值的操作可以说很脑洞了
md5sum
,应该是要和注释的图片联系起来,毕竟人名一样 wordpress
后台getshell
cms
框架的网站,配置文件中会有着数据库的账号和密码,可能也是本机的用户- 加深了对于
.kdbx
文件的解密和查看keepass2john
https://app.keeweb.info/