VulnHub项目:Nagini

1、靶机地址:

HarryPotter: Nagini ~ VulnHub

本篇为哈利波特死亡圣器系列的第二部,该靶机中存在3个魂器,依次找到它们,摧毁它们!

2、渗透过程

首先收集靶机ip和确定攻击机ip,同时探测靶机开放端口

 存在22、80端口,访问80端口发现了一张图,再无其他信息,常规思路,是进行目录爆破,看是否存在一些有用的敏感信息或目录!

可以使用多个扫描器,进行扫描看看

gobuster dir -u http://192.168.56.144/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.txt,.html

扫描结果发现了note.txt,joomla框架,利用joomscan进行扫描发现了一些列信息 

 

 

 

发现了administrator后台登录,还有前端的登录 ,还有一个配置文件的备份,一般来说里面都是有用户名和密码的。

 将该文件下载查看,发现了mysql的用户登录名goblin

再没有什么其他信息,访问note.txt,发现了提示,该提示是让我们用http3进行访问,这边得进行下面的安装操作,才能实现http3访问

按照如下步骤,基本没什么问题

apt-get update                #更新数据源列表
apt install cargo             #安装cargo组件
apt install cmake             #安装cmake组件
apt purge rustc               #卸载系统自带的rustc
apt-get install git            #安装git
curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh   #重新安装最新版本的rustc
执行完上面选择1
source $HOME/.cargo/env       #执行环境变量

git config --global url."https://gitclone.com/".insteadOf https://  #git加速,用这个可以解决git克隆连接延时的问题
git clone --recursive https://github.com/cloudflare/quiche    #下载quiche
cargo build --examples        #运行cargo默认实例的文件
cargo test                    #检查前面所有安装命令
cd  /quiche/target/debug/examples
./http3-client https://192.168.56.144     #利用http3的客户端去访问目标靶机

 

 

 用http3-client 访问靶机,获得了源码,其中含有了一个路径

 访问后发现是一个搜索框的样子,进行简单尝试

 

 猜测可能会有ssrf漏洞,利用gopher协议进行本地访问

 返回了本地的web界面

 再用file协议进行读取

 读取成功,确定,是存在ssrf漏洞,该漏洞可以探测内网情况

接下来就要利用一个gopher的工具,该工具可以构造payload,进行ssrf攻击 

  git clone https://github.com/tarunkant/Gopherus.git

运行该工具,其中的mysqlusername在之前备份文件中看到过,goblin,下面是要操纵数据库的指令,一般都是进行查看数据库名,查看表,查看表内容等等 

 这里如果输入后,未出结果,可以刷新几次,就可以看到

 数据库名为joomla,然后重复刚才的操作,探测表名

 找到joomla_users表

 下一步就是拿其中的数据了

 发现了用户名site_admin,密码是经过加密的

 site_admin

$2y$10$cmQ.akn2au104AhR4.YJBOC5W13gyV21D/bkoTmbWWqFWjzEW7vay

这个密码如果暴力破解的话会很费时,那么就换个思路,我们将它的密码给它修改了,在kali本地生成个123的加密密文 

echo -n "123" | md5sum

202cb962ac59075b964b07152d234b70

 

 然后利用工具,输入数据库修改密码的语句,将密文替换它的密码

 然后将payload执行,修改成功

 这时,我们用site_admin用户,和我们修改的密码123进行登录

 啪的一下,很快啊,我们就登录成功了,登录成功后,下一步就是反弹shell了,对于这类的框架,有个常用的方法就是利用他们的主题,对主题中的文件进行修改,然后访问主题文件,本地监听,即可反弹shell

 

 

 利用kali自带的reverse_tcp_shell文件,讲里面的ip改为kali的ip,端口随意

 

然后随便找主题里的一个文件,复制粘贴进来保存

 本地开启监听

访问刚才修改的文件 

 http://192.168.56.144/joomla/templates/beez3/index.php

 反弹回一个shell

找了半天,发现了第一个魂器 

 

 horcrux_{MzogU2x5dGhFcmlOJ3MgTG9jS0VldCBkRXN0cm9ZZUQgYlkgUm9O}

在home中发现用户赫敏,也看到了第二个魂器,但是有权限,无法读取 

 还有个斯内普的文件,发现了类似于密钥的文件,还是base64编码了

 

 解码出来是爱莉莉,那就用斯内普远程连接一下,连接成功

 看看有没有什么可以提权的方式,发现了赫敏存在这个执行文件,利用这个执行文件可以提权成赫敏

看它那个su_cp不禁的联想到了,向它的文件中写入自己随便生成的ssh密钥,来,我们本地生成一个 

一路回车,这里就相当于免密了,讲生成的公钥上传到斯内普下 

 

 然后,利用赫敏文件中的可执行文件,将刚才上传的公钥,复制到赫敏文件中,替换之前的公钥

 接下来就可以免密登录赫敏了,登录后轻松查看魂器2

找寻一圈,发现了个.mozilla目录,这个目录是Linux在使用火狐浏览器的时候,生成的,里面存在一些配置信息,更甚至有密码 

 horcrux_{NDogSGVsZ2EgSHVmZmxlcHVmZidzIEN1cCBkZXN0cm95ZWQgYnkgSGVybWlvbmU=}

 将该目录下载到本地

 

 

然后下载一个破译工具 

 git clone https://github.com/unode/firefox_decrypt.git

利用该脚本破译.mozilla目录下的firefox文件,破解出来root的密码 

 真舒服,直接su root,输入密码,提权成功,获得了第三个魂器

 horcrux_{NTogRGlhZGVtIG9mIFJhdmVuY2xhdyBkZXN0cm95ZWQgYnkgSGFycnk=}

最后渗透结束! 

3、总结

该靶机综合了很多知识,其中包括ssrf漏洞的利用,ssh公钥写入等内容,其中最难受的是http3的访问,花费了很大的功夫,有很多次,那些配件安装失败,花费了很长时间。该部为哈利波特死亡圣器系列第2部,后续会带来最后一部,最后的三个圣器!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值