简介:获取标志(难度: 中等)

1、下载靶场

靶机名称:GROTESQUE: 1.0.1

下载地址:

Grotesque: 3.0.1 ~ VulnHub

2、安装靶场

以DC-1为例,将文件解压(一压缩包形式进行下载)。

打开虚拟机,选择解压好的文件导入虚拟机( vof 版本高于4.0,点击重试即可导入)

导入成功,开启此虚拟机( 当页面出现 grotesque login 时表示安装成功)。

3、获取靶机的flag

前提:

1、已知kali的IP地址(ifconfig)

—— kali IP地址:192.168.108.129/24

2、grotesque和kali在同一网段 | 已知grotesque所在的网段

—— grotesque  IP地址:192.168.108.156/24

信息收集

获取grotesque的IP地址

命令:netdiscover -r 192.168.108.129/24

由图可知grotesque的IP地址是:192.168.108.148/24(重启之后变成 192.168.108.156/24)

端口扫描

命令:nmap -sV -p- -O 192.168.108.156

//-sV:扫描系统版本和程序版本号检测,-p-:全端口扫描

获取信息如下:

端口号

服务

版本

22

ssh

OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)

80

http

Apache httpd 2.4.38 ((Debian))

操作系统:OS details: Linux 4.15 - 5.6

首先修改 /etc/hosts 文件,将IP地址和域名进行绑定

http://g2/

在首页中发现了一个图片

放大发现有个小地图比较特殊(包括m、d和五个x),猜测可能是指的md5

目录扫描

dirb http://g2

扫描结果:

http://g2/index.html

http://g2/server-status

dirsearch -u "http://g2"

使用whatweb进行网站指纹识别

目录扫描没有找到什么有用的东西,猜测应该是字典的问题,既然提示了md5,可能是md5加密之后的地址

将 /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt 字典进行md5加密

for i in $(cat /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt); do echo $i | md5sum >> /root/Desktop/g2.txt; done

重新使用 gobuster 工具扫描目录

gobuster dir -w /root/Desktop/g2.txt -u http:///g2 -x php,html,txt,zip,bak

在这里第一次没扫出来,参考了其他文章之后发现是由于默认转换md5之后的字典带有”   -“,需要删除之后是扫描

扫描得到URL:/f66b22bf020334b04c7d0d3eb5010391.php

查看源代码也是什么都没有

使用模糊测试的方式

wfuzz -c -w /usr/share/wordlists/dirb/big.txt --hw 0 -u http://g2/f66b22bf020334b04c7d0d3eb5010391.php\?FUZZ=/etc/passwd

成功扫出来purpose

URL: http://g2/f66b22bf020334b04c7d0d3eb5010391.php?purpose=/etc/passwd

可以直接在网页中查看源代码,发现用户freddie的操作系统居然是 /bin/bash,和root是一样的

继续使用之前制作的md5字典去爆破ssh(freddie),得到了账号密码(freddie、61a4e3e60c063d1e472dd780f64e6cad)

hydra -l freddie -P g2.txt ssh://192.168.108.156

ssh登录成功之后在家目录获取到第一个flag(user.txt)

提权

上传自动化的辅助提权脚本 linpeas.sh

可能是脚本的问题,没扫出来什么东西

接下来我们执行ss -tulpn发现开启了445端口,证明有smb服务在运行

直接去靶机上使用smbclient查看共享信息

smbclient -L 192.168.108.156

得到共享文件夹grotesque

smbclient //192.168.108.156/grotesque

这里需要用到 pspy64s 这个工具查看系统都运行了哪些程序,尝试寻找入侵的攻击点

发现这个地方root 会去执行 /smbshare 文件夹中的所有内容(/bin/sh -c bash /smbshare/*)

原理:上图说明root用户(uid=0)在用bash这个命令去执行smbshare文件夹下面的sh文件,这个时候我们就可以传一个sh的反弹shell到smb共享文件夹下面,因为后台开启了这个进程它会自动执行这个文件夹下面的sh脚本

在获取了root的shell之后在当前目录下就可以获取到第二个flag

靶机17 GROTESQUE: 3.0.1相关推荐

  1. 数据库管理工具 FileMaker Pro 17 Advanced v17.0.4.400中文版

    FileMaker Pro Advanced 17是一款目前市面上最方便的桌面数据库软件,是全球最畅销.最方便的桌面数据库软件,适用于 Windows 和 Mac 平台.FileMaker Pro是可 ...

  2. Java黑皮书课后题第6章:*6.17(显示0和1构成的矩阵)编写一个方法,使用下面的方法头显示m*n矩阵。每个元素都是随机产生的0或1。编写一个测试程序,提示用户输入n,显示一个n*n矩阵

    6.17(显示0和1构成的矩阵)编写一个方法,使用下面的方法头显示m*n矩阵.每个元素都是随机产生的0或1.编写一个测试程序,提示用户输入n,显示一个n*n矩阵 题目 题目描述与运行示例 破题 代码 ...

  3. 靶机16 GROTESQUE: 2

    简介:获取标志(难度: 中等) 1.下载靶场 靶机名称:GROTESQUE: 2 下载地址: Grotesque: 2 ~ VulnHub 2.安装靶场 以DC-1为例,将文件解压(一压缩包形式进行下 ...

  4. k8s dashboard_【大强哥-k8s从入门到放弃02】Kubernetes1.17部署Dashboard2.0

    号外号外,后面所有提升视频都会更新到知乎和B站上去,不会直接发群里了,哈哈,能看懂这句话的我都认识,大家可以先关注一下,我知乎上的所有文档也会录成视频 更多视频详见 杨哥天云:https://spac ...

  5. board crt_【大强哥-k8s从入门到放弃02】Kubernetes1.17部署Dashboard2.0

    号外号外,后面所有提升视频都会更新到知乎和B站上去,不会直接发群里了,哈哈,能看懂这句话的我都认识,大家可以先关注一下,我知乎上的所有文档也会录成视频 我马上就开B站账号,录制点儿走心的视频,呼呼 开 ...

  6. “注定不凡“汇众教育17周年 V10.0发布会上海站“剧透”抢先看

    2021年8月7日,汇众教育"注定不凡"17周年暨V10.0新产品发布会(上海站)将隆重举行. 17年前做培训,17年后做教育.从培训到教育,汇众教育改变的不仅仅是规模,更是数字文 ...

  7. Android 8.0 学习(17)---Android8.0中对指纹的新要求

    Android8.0中对指纹的新要求 784 我们先来看一张指纹在Android6.0版本上的架构层次图: 指纹应用层,也就是手机上的指纹设置,这是Android系统层定义的指纹管理入口. 1,sys ...

  8. php 免登陆如何使用方法,火车头教程17:dz3.0免登陆接口使用教程

    解压后看到的文件有: 其中discusX3.0.wpm 是发布模块,dz测试接口.ljobx 是用于测试的规则,以后不要问规则该怎么写了,就按照这个格式写. 1,上传接口 根据自己的网站编码选择GBk ...

  9. 靶机渗透练习90-Grotesque:1.0.1

    靶机描述 靶机地址:https://www.vulnhub.com/entry/grotesque-101,658/ Description get flags difficulty: medium ...

最新文章

  1. python基础-模块导入
  2. linux 线程操作问题undefined reference to ‘pthread_create‘的解决办法(cmake)
  3. python自动化教程_Python自动化开发实战视频课程-全新基础篇_Python教程
  4. POJ 1087 -- A Plug for UNIX(最大流,建图)(文末有极限数据)
  5. C++——lambda表达式
  6. 表驱动法——直接访问表示例1
  7. IT与业务之间的鸿沟根源
  8. HDU - 4497 GCD and LCM 数论gcd
  9. 程序员面试金典 - 面试题 16.10. 生存人数(自定义优先队列)
  10. 你所了解到的Web攻击技术
  11. 机器视觉光源学习总结——条形光源
  12. 教育期刊《英语广场》期刊简介及投稿须知
  13. 如何配置shopex网店静态化(URL重写)
  14. 获取当前屏幕各种高度
  15. coon.php连接,新手关于$coon的连接问题
  16. 20200720《Flask进阶》——蓝本
  17. md5update java_JAVA实现MD5算法
  18. pta中java编程题_多文件编程题
  19. unity和android交互问题整理
  20. HDU - 4082 Hou Yi's secret

热门文章

  1. copy() 与 clone() 的区别
  2. springboot yml语法 ${} 用法
  3. latex:ieee摘要两端对齐
  4. golang读取conf文件的两种方式(ini和Viper)
  5. 今天是国际数学日,既是爱因斯坦的生日又是霍金的忌日
  6. 兆隆计算机学院新建大楼网络设计项目方案
  7. 网络舆情事件预警与分析工作实施措施与流程详解
  8. python 需求分析
  9. 数据可视化之关联分析
  10. 2021美团笔试秋招后台高清