Vulnhub_Grotesque 1.0.1靶机渗透测试

Grotesque 1.0.1靶机

https://www.vulnhub.com/entry/grotesque-101,658/

信息收集

1. 通过nmap扫描得到靶机开放66和80端口，对66端口更深一步扫描发现也是一个运行http的网站

2. 使用目录扫描工具扫描发现80端口没什么内容，66端口信息比较多

web 66端口渗透

1. 访问80端口的网站，发现页面直接无法正常访问

2. 访问66端口，发现主页讲的是常见的漏洞，一些命令和工具链接，访问扫描出来的文件，发现没有可以利用的，再对目录更进一步扫描也没发现有用文件

3. 点击网页的加深字体，发现下载了一个压缩包

4. 查看压缩包内容，发现一个文件夹和压缩包名一样，点击进入发现都是md的文本文件，随便点开几个没发现有什么特别的地方

5. 文件的内容都差不多一致，怀疑会有隐藏内容藏在某个文件内，选择压缩前文件大小降序，查看最大的文件发现了80端口隐藏目录的提示

web 80端口渗透

1. 访问该目录，发现是熟悉的wordpress的cms框架

2. 直接使用wpscan工具进行后台用户名枚举，得到一个用户

、

3. 但是对密码进行暴力破解时发现不成功，想起前天做的grotesque3需要进行md5加密，难道是漏下了提示，这里也需要吧

4. 查看了wp，发现需要计算一个人的歌词的md5值作为密码进行登录，意想不到啊

5. 在网站源码发现了对图片路径进行注释

6. 访问图片发现提示一个人名、

7. 网站上寻找该人的链接，发现了此人的歌词

8. 将歌词保存到文件中，使用md5sum计算歌词的md5值

获取权限

1. 使用账号密码成功登录wp后台，也对wp见怪不怪了，来到修改文件代码的界面，在404.php文件中添加反弹shell

2. 可以直接访问404.php文件或者修改网站的参数，导致报错触发404.php，进而执行反弹shell

权限提升

1. 对于有cms框架的网站，首先就去查看网站的配置文件，在里面发现了一个账号和密码

2. 查看passwd文件，查看靶机的用户名，发现和配置文件的用户名一致

3. 使用账密成功切换到raphael用户下，切换交互式shell

4. 在用户目录下，发现了一个隐藏的.kdbx文件，这在之前做DriftingBlues5有遇到过，看着名字差不多就是存放着root的密码了

5. 测试发现靶机不存在keepass2john命令，尝试将.kdbx文件下载到靶机内，将其复制到网站目录下显示权限不足

6. 还准备把工具目录放到网站上，靶机wget下载了。但又想到可以使用python在当前目录开启服务器，本机使用wget下载

7. 使用keepass2john转换成hash值之后，再使用john破解得到密码

8. 来到专门查看.kdbx的网站https://app.keeweb.info/，添加文件，输入密码即可查看.kdbx的内容，发现文件中有着四个root密码。值得一提wget下载的是.开头的隐藏文件，可以将重命名去掉.,方便添加文件

9. 经过测试，发现第三个密码成功登陆到root

10. 来到root目录下查看flag，结束

靶机总结

1. 查看网站上醒目的标识，可能会有不小的收获
2. 有着很多相同文件内容的文件夹，要怀疑其中就有隐藏内容的文件，按照占内存大小排序，可能会发现第一个文件中隐藏着某些信息
3. 这个把歌词转换成md5值的操作可以说很脑洞了md5sum，应该是要和注释的图片联系起来，毕竟人名一样
4. wordpress后台getshell
5. cms框架的网站，配置文件中会有着数据库的账号和密码，可能也是本机的用户
6. 加深了对于.kdbx文件的解密和查看 keepass2john https://app.keeweb.info/