HARRYPOTTER: ARAGOG (1.0.2)

攻击机192.168.223.128

目标机192.168.223.144

主机发现

nmap -sP 192.168.223.0/24

HARRYPOTTER: ARAGOG (1.0.2)_第1张图片

端口扫描

nmap -sV -A -p- 192.168.223.144

HARRYPOTTER: ARAGOG (1.0.2)_第2张图片

开启了22 80端口

看一下web界面,是一张图片

源码没东西,robots.txt也没东西

就一张图片,感觉可能会有隐写,保存在桌面

binwalk分离不出东西,steghide也没有密码,先算了。。。

扫一下目录

dirsearch -u 192.168.223.144

HARRYPOTTER: ARAGOG (1.0.2)_第3张图片

看目录应该是wordpress服务,看一下blog界面

HARRYPOTTER: ARAGOG (1.0.2)_第4张图片

有个notice,说是我们将为了安全删除一些没使用的插件,猜测是插件有漏洞

wpscan  --url http://192.168.223.144/blog --plugins-detection aggressive

HARRYPOTTER: ARAGOG (1.0.2)_第5张图片

这个wp-file-manager 6.0不是最新版本,可能会有漏洞,搜一下

searchsploit file-manager

HARRYPOTTER: ARAGOG (1.0.2)_第6张图片

6.9有个漏洞,试一下

HARRYPOTTER: ARAGOG (1.0.2)_第7张图片

成功执行了rce

但是现在shell反弹不过去,有点不知所措,可能是因为执行完一条指令,会话就被终止了。

去metasploite看看有没有exp

HARRYPOTTER: ARAGOG (1.0.2)_第8张图片

看一下options

HARRYPOTTER: ARAGOG (1.0.2)_第9张图片

配置lhost rhost就行

HARRYPOTTER: ARAGOG (1.0.2)_第10张图片

后来拿到shell

在 hagrid98里面看到一个txt文件,里面是个base64加密,解一下

HARRYPOTTER: ARAGOG (1.0.2)_第11张图片

HARRYPOTTER: ARAGOG (1.0.2)_第12张图片

这应该就是第一个flag

现在想想如何提权

先切换到shell,再换到交互shell

shell
python3 -c 'import pty; pty.spawn("/bin/bash")'

HARRYPOTTER: ARAGOG (1.0.2)_第13张图片

sudo不能用,好像也没有什么提权的suid文件

想到这个是个wp框架,一般数据库账号密码在配置文件里

先找一下配置文件在哪,wp配置文件名字是wp-config.php

find / -name wp-config.php 2>/dev/null

HARRYPOTTER: ARAGOG (1.0.2)_第14张图片

里面没有看到账号密码,但是包含了一个文件

去看看这个默认配置文件

HARRYPOTTER: ARAGOG (1.0.2)_第15张图片

里面有数据库账号密码

连接一下

mysql -u root -p

HARRYPOTTER: ARAGOG (1.0.2)_第16张图片

找到了hagrid98用户的密码

这个hash应该用john可以爆破出来

我这里为了方便用了在线解md5

HARRYPOTTER: ARAGOG (1.0.2)_第17张图片

得到密码是password123,su到hagrid98这个用户

HARRYPOTTER: ARAGOG (1.0.2)_第18张图片

看一下如何提权到root

HARRYPOTTER: ARAGOG (1.0.2)_第19张图片

没什么

猜测备份文件有东西

HARRYPOTTER: ARAGOG (1.0.2)_第20张图片

有个.backup.sh很可疑,貌似在哪见过

HARRYPOTTER: ARAGOG (1.0.2)_第21张图片

意识是把 前面这个文件复制到后面的目录里

之前dc系列好像也有一个这个东西,是个定时任务

那么在里面写入一个反弹shell,任务执行的时候应该就能拿到root shell

HARRYPOTTER: ARAGOG (1.0.2)_第22张图片

攻击机开个监听端口,然后等就行了。

HARRYPOTTER: ARAGOG (1.0.2)_第23张图片​​​​​​​

你可能感兴趣的:(vulnhub靶场,网络,运维,网络安全,渗透测试,vulnhub靶场)