HARRYPOTTER: ARAGOG (1.0.2)

攻击机192.168.223.128

目标机192.168.223.144

主机发现

nmap -sP 192.168.223.0/24

端口扫描

nmap -sV -A -p- 192.168.223.144

开启了22 80端口

看一下web界面，是一张图片

源码没东西，robots.txt也没东西

就一张图片，感觉可能会有隐写，保存在桌面

binwalk分离不出东西，steghide也没有密码，先算了。。。

扫一下目录

dirsearch -u 192.168.223.144

看目录应该是wordpress服务，看一下blog界面

有个notice，说是我们将为了安全删除一些没使用的插件，猜测是插件有漏洞

wpscan  --url http://192.168.223.144/blog --plugins-detection aggressive

这个wp-file-manager 6.0不是最新版本，可能会有漏洞，搜一下

searchsploit file-manager

6.9有个漏洞，试一下

成功执行了rce

但是现在shell反弹不过去,有点不知所措，可能是因为执行完一条指令，会话就被终止了。

去metasploite看看有没有exp

看一下options

配置lhost rhost就行

后来拿到shell

在 hagrid98里面看到一个txt文件，里面是个base64加密，解一下

这应该就是第一个flag

现在想想如何提权

先切换到shell，再换到交互shell

shell
python3 -c 'import pty; pty.spawn("/bin/bash")'

sudo不能用，好像也没有什么提权的suid文件

想到这个是个wp框架，一般数据库账号密码在配置文件里

先找一下配置文件在哪,wp配置文件名字是wp-config.php

find / -name wp-config.php 2>/dev/null

里面没有看到账号密码，但是包含了一个文件

去看看这个默认配置文件

里面有数据库账号密码

连接一下

mysql -u root -p

找到了hagrid98用户的密码

这个hash应该用john可以爆破出来

我这里为了方便用了在线解md5

得到密码是password123,su到hagrid98这个用户

看一下如何提权到root

没什么

猜测备份文件有东西

有个.backup.sh很可疑，貌似在哪见过

意识是把 前面这个文件复制到后面的目录里

之前dc系列好像也有一个这个东西，是个定时任务

那么在里面写入一个反弹shell，任务执行的时候应该就能拿到root shell

攻击机开个监听端口，然后等就行了。

​​​​​​​