【Vulnhub】Grotesque 1

【Vulnhub】Grotesque: 1.0.1

Description:

​ get flags

​ difficulty:medium

信息收集

使用 fscan 扫描目标确定 IP:192.168.1.2

image-20250304145722694

nmap 扫描目标 IP 全端口服务

image-20250304150140165

开放了 66、88端口

image-20250304173953144

image-20250304174014288

页面中有句“you can download this project from here”

点击下载,并解压

image-20250305112134816

__vvmlist文件夹中的 .md 文件基本都是相同内容,但是按文件大小降序列出来文件之后发现

ls -l | sort -k 5nr

image-20250305143455030

打开 sense.md 文件,可以看到 68 行代码表明是 wordpress 框架,并且80端口是有一个 lyricsblog 目录

image-20250305143538716

进入 80 端口的 lyricsblog 目录

image-20250305150533293

查看网页源代码,发现注释里面有提到该目录下的一个 png 图片

image-20250305151821840

打开看看

yes,i enjoy Hakan Tasiyan

how could you tell

image-20250305151933228

图片下载下来,测试有没有隐写,没有结果。。。

继续扫描目录,发现使用 wp 框架,还有个登陆页面

image-20250305150505606

使用 wpscan 查找有关 wordpress 的更多信息

wpscan --url http://192.168.9.9/lyricsblog/ -e at -e ap -e u

image-20250305150827990

得到用户名 erdalkomurcu

[!NOTE]

后面一直没头绪,查资料发现是要找图片中人名为标题的那段话,计算这段话的 md5 值(Why?没搞懂怎么联系起来的)

回到 80 端口页面,

发现页面中有提到图片那个人名 Hakan Tasiyan

image-20250305152522884

这段话整理成三段

[!NOTE]

其实这里还有个疑问,我没搞懂 这段土耳其语 是怎么看出来能整理成三段歌词的

翻译过来之后是离谱的伤痛文学歌词

image-20250305155353707

将其保存到 txt 文件中,使用 md5sum 计算里面的 md5 值

image-20250305155538584

得到值:bc78c6ab38e114d6135409e44f7cdda2,转换成大写:BC78C6AB38E114D6135409E44F7CDDA2,去目录扫描出来的登陆页面登录 wordpress

image-20250305155628756

成功登录

image-20250305155659754

漏洞利用

登陆进去后,使用 wordpress 主题编辑功能,进行反弹 shell

点击 appearance -> Theme File Editor -> 右侧 Main Index Template,将 kali 系统自带的 php 反弹webshell 代码 copy 进去

(注意修改ip和port,我这里ip就写错了。。。)

image-20250305161155037

连接成功

image-20250305161659840

提权

升级 PTYshell:

python -c 'import pty;pty.spawn("/bin/bash")';

image-20250305162606700

去查看 wordpress 配置文件

cd ~
cd html
cd lyricsblog
cat wp-config.php

得到用户名密码:raphael/_double_trouble_

image-20250305163034055

切换到 raphael 用户

image-20250305163241359

得到 user 的 flag

image-20250305163316478

该用户目录中存在隐藏的密码文件 chadroot.kdbx

image-20250305163426663

[!IMPORTANT]

keepass 文件扩展名为 kdbx

KeePass 是一款免费的开源密码管理器,可帮助您以安全的方式管理您的密码。您可以将所有密码存储在一个数据库中,该数据库由主密钥锁定。因此,您只需记住一个主密钥即可解锁整个数据库。数据库文件使用目前已知的最佳和最安全的加密算法(AES-256、ChaCha20 和 Twofish)进行加密。

目标靶机上用 python 开启个 http 服务

python -m SimpleHTTPServer 1234

image-20250305170233383

image-20250305170331106

将 .chadroot.kdbx 下载到 kali 里

wget http://192.168.1.2:1234/.chadroot.kdbx

使用keepass2john 转换成 hash 值之后,再使用 john 破解得到密码

keepass2john .chadroot.kdbx | tee hash
john --wordlist=/usr/share/wordlists/rockyou.txt hash

image-20250305171204978

得到密码 chatter

使用专门查看.kdbx的网站:https://app.keeweb.info/ ,添加文件,输入chatter,查看 kdbx 中的信息,得到四个密码,以此尝试登录,第三个密码:.:.subjective.:.,登陆成功。

获取 root 用户的 flag

image-20250305171720070

posted @ 2025-03-05 17:19  酷比灯  阅读(14)  评论(0)    收藏  举报