Vulnhub_Grotesque3靶机渗透测试

grotesque3靶机

信息收集

1. 通过nmap扫描得到靶机开放22和80端口

2. 使用目录扫描工具gobuster dirsearch也没扫到什么有用的目录

web渗透

1. 信息收集了很久，也对web页面的唯一图片也进行隐写操作。也都没发现可以利用的信息

2. 查看wp发现了图片的地图上隐藏了暗示md5的提示，再回想起web主界面的一句话，地图会给你一条光明的路，确实没有想到

3. 将目录扫描字典内容进行md5加密，再次使用gobuster进行目录扫描，得到了一个目录

4. 访问该目录发现没什么内容，怀疑是文件包含或者webshell文件

5. 使用fuzz工具，对网页进行爆破查看文件包含的参数，得到purpose

6. 文件包含passwd文件发现唯一的用户freddie，尝试去查看用户目录下的ssh私钥文件，发现没有内容。服务器日志也没显示

获取权限

1. 远程和本地文件包含可利用的文件失败后，只好对freddie用户进行ssh爆破登录了
2. 跑了一遍弱口令密码文件发现没结果，查看wp，还是要进行md5加密，使用之前加密好的文件，再跑一次成功得到用户的密码。确实是跟md5杠上了

3. 将得到的账号和密码进行登录，来到用户的shell freddie/61a4e3e60c063d1e472dd780f64e6cad

权限提升

1. 查看了常见的提权方式，发现都没有可以提前的，sudo suid 计划任务 内核提权 不安全的服务 文件 遗留密码 可写权限文件

2. 想到之前用pspy64文件查看系统的执行进程。发现了使用root权限定时执行/smbshare目录里的文件

3. 靶机没有开放445smb服务端口，只能在本地查看使用smb客户端查看可利用的目录，发现了grotesque

4. 查看smb的配置文件 cat /etc/smb/smb.conf，发现groterque路径就是/smbshare 而且还是可写入的

5. 在靶机shell创建一个shell.sh的反弹shell的文件，使用put命令上传到/smbshare

6. 查看进程执行，等待反弹的shell

7. 来到root目录下查看flag

靶机总结

1. 靶机难度挺高，主要是真想不到地图上这提示是需要md5加密在进行目录扫描的
2. 学习到了将字典文件转换成md5加密后的文件
3. 如果文件包含不能查看到一些有用的文件，就只好对密码文件中的用户进行暴力破解了
4. sudo suid 计划任务 内核提权 不安全的服务 文件 遗留密码 可写权限文件都不能进行提权，可以使用pspy64文件查看系统所执行的进程，可能会发现隐藏的定时任务
5. 对外没有开放smb服务，可以使用靶机的shell通过smb客户端进行连接
6. smb目录没有权限写入，就使用smb客户端进行连接挂载好的smb服务器，只要smb配置文件给予可写入权限，就可以使用put命令进行文件上传操作了