VULNHUB 33 GROTESQUE3 - VULNHUB | Phut Hon = X_T = 天行健，君子以自强不息

靶机下载地址: https://www.vulnhub.com/entry/grotesque-301,723/

# 确认攻击目标

攻击机 KALI： 192.168.31.135
靶机 GROTESQUE3：桥接于 192.168.31.1 的网卡，ip 未知

1 ）确定靶机 ip 地址
sudo arp-scan -l > 1.txt ; cat 1.txt | grep 'a0' ; rm -f 1.txt

-> 靶机 ip：192.168.31.63

2 ）确认靶机 ip 开放的端口信息
sudo nmap -p- 192.168.31.63

-> 靶机开放端口 22,80

# 网站信息收集

打开 http://192.168.31.102/ 进行信息收集

这里有一个地址，点击这个地址会跳转到一个页面

http://192.168.31.63/atlasg.jpg

提示指向了这个图片，看来这个图片有一些线索，仔细查看这个图片

图片中的一部分有这么一张小图片，有 MD 还有 5 个 X，很显然是 md5
那么这个 md5 加密有什么可以利用的地方吗？可能会是目录采用的 md5 加密，可能是某个特殊的文件地址的前缀是 md5 的字符串

# linux 下 md5 加密

终端里边进行 md5 加密和解密分别为如下操作
echo “xxx” | md5sum
John 1.txt –format=Raw-MD5 –wordlist=/usr/share/wordlists/dirbuster/directory –fork =2

抓取网站的数据包，通过 burp 代理浏览器数据

设置攻击类型为 Cluster bomb，即两个字段采用两个不同的字典，第一个字段填一个比较常用的爆破字典

第二个字典填一个经常用的后缀，如下

并且采用 md5 加密对自己的 payload 进行加密

注意要对第一个字段 md5 加密，第二个字段不加密，按此方法爆破即可

还有另外一种爆破方式，是通过 linux 命令生成批量的 md5 加密的字典
for i in $(cat /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt); do echo $i;echo $i | md5sum >> dirscroty_md5.txt; done

生成的字典显示如下，每一行的最后面都有一个横线

# 利用 vim 自定义 txt

输入:% s#-##g 即可以批量清除横线

此时的字典已经显示为正常，可用此 md5 加密字典进行爆破

# 爆破 md5 目录

用 gobuster 加载此字典进行目录的搜集
gobuster dir -x php,txt,html,zip,rar,bak,php.bak -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium-md5.txt -u http://192.168.31.63/

找到了一个敏感的地址：http://192.168.31.242/f66b22bf020334b04c7d0d3eb5010391.php

看来是有一些参数在这个 url 地址后边

# wfuzz 爆破 http 参数

用 wfuzz 爆破 http 参数
wfuzz -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u "http://192.168.31.63/f66b22bf020334b04c7d0d3eb5010391.php?FUZZ=/etc/passwd" -c --hh 0 -t 32 --hc 404,403