vulnhub靶场之【grotesque】一

前言

都是虚拟机，采用桥接模式

靶机：grotesque 192.168.1.41

攻击：kali 192.168.1.16

主机发现

使用arp-scan -l扫描

信息收集

使用nmap扫描

这里是扫描全部端口，因为使用默认扫描的端口时，只有80端口，所以重新扫全部端口

访问80端口网站，发现无资源

访问66端口网站，这里列出了许多靶场等，不过这里有下载，下载看看是什么东西

下载解压后，进入该文件夹内，文件很多，一个个的看，看能否发现关键

ls -Slh以人类可读的方式按照文件大小，从大到小排序
ls -Slhr从小到大

通过这个排序，看了众多的文件，最终在_vvmlist中找到一个文件sense.md

这时候查看其中内容，有一个目录给出lyricsblog

漏洞寻找

访问这个网站目录，注意，是在80端口上，一个wordpress博客

使用专门的wpscan工具，检测博客

wpscan --url http://192.168.1.41/lyricsblog/

初步检测，发现xmlrpc.php，可能存在用户枚举及密码爆破

尝试进行枚举

wpscan --url http://192.168.1.41/lyricsblog/ -e u -P [字典]

当然这里用户已经枚举出了erdalkomurcu。很长时间没有破解出，可能不是单纯的爆破，访问界面，查看源代码，发现注释的路径，访问查看

访问图片，其中有些文字

查看博客内容时，发现有一个标题涉及

点击查看，应该是歌词之类的，翻译查看

目前的信息就这么多，图片执行这个标题，内容。然后就是字典爆破，使用cewl爬取，不过也是没有。扫描一下目录试试

漏洞利用

也是没有好的提示什么了，这里尝试了XSS及其他注入，还有wpscan插件主题漏洞都扫了，没有任何东西，不知道下一步怎么整了，网上看wp，都是说md5求和，就是把歌词放在文件求和，这个是真想不到啊，一点提示都没有

这里注意，复制歌词后，其余的换行都删除，确保歌词从头到尾就是词，这里我登录的时候并没有提示什么，所以刚开始以为错了，后面看网上wp，原来是要字母大写，但是我没有提示

BC78C6AB38E114D6135409E44F7CDDA2

登录到系统中

到这，靶场开始出问题了，直接断开，怎么办

无奈，只能重装靶机，所以后面IP地址会变化，变成192.168.1.42

不过这次登录显示提示了，看来之前是玄学啊

反弹shell

在主题编辑处，编辑index.php，在代码中加入webshell，然后更新即可

也就是/usr/share/webshells/php/php-reverse-shell.php文件，在其中修改ip和端口即可

kali开启监听，当浏览器访问index.php就会触发反弹shell

提权

切换到网站目录/var/www/html/lyricsblog，查看配置文件wp-config.php

获取到连接数据库的账户密码，测试该密码是否也是ssh的密码，不对，突然想到没有开放22端口，或ssh服务也没有扫到。使用su切换，可以，是其密码

查看其家目录下的文件

使用nc把这个.chadroot.kdbx下载到kali

知道文件类型，借助john的套件，keepass2john转换成john可识别的内容，然后进行破解

大概三分钟左右，密码出来chatter chadroot

然后还需要解密，打开网站app.keeweb.info，在框内输入密码chatter，然后点击回车

然后可以看到有的密码，进行测试

最终在第三个测试成功

清理痕迹

发现还有一个清空日志的脚本

那这里直接运行这个脚本，进行清除痕迹

总结

1. 对于端口等扫描，有时候可能把服务开启在并非是常见端口上
2. 对于信息收集，要全面，不要放过一个
3. 这里对于密码的整合，我其实不知道怎么总结，因为md5和去做密码，而且是把网站中的内容作为文件内容去求和。简单了解一下吧
4. 可能有的网站与数据库交互的密码，就是其本身的密码
5. john套件的强大，之前使用了ssh2john这次再加keepass2john
6. 对于keepass简单了解一下，知道怎么回事即可

原文地址：https://blog.csdn.net/China_I_LOVE/article/details/144253928

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！