Vulnhub靶机:HARRYPOTTER_ NAGINI

最新推荐文章于 2023-09-01 17:56:19 发布
最新推荐文章于 2023-09-01 17:56:19 发布
阅读量694 收藏
点赞数 2
分类专栏: 靶机 文章标签: Vulnhub
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44288604/article/details/126089854
版权

目录

介绍

系列HarryPotter(此系列共3台)
发布日期:2021年04月29日
难度: 中→高(打点较难)
目标: 取得 root 权限 + 3 Flag
攻击方法:

  • 主机发现
  • 端口扫描
  • WEB信息收集
  • HTTP3协议
  • 域名绑定
  • SSRF漏洞(Gopher + Mysql)
  • Joomla漏洞
  • SSH公钥登录
  • 浏览器密码还原

靶机地址:https://www.vulnhub.com/entry/harrypotter-fawkes,686/

信息收集

主机发现

netdiscover主机发现

sudo netdiscover -i eth0 -r 192.168.56.0/24

在这里插入图片描述

主机信息探测

在这里插入图片描述

网站探测

开局就是一张图,没什么有价值的信息
在这里插入图片描述

目录扫描

这里提供2个加强版文件扫描:

  1. 从字典上来说,前者有字典87664行,后者有字典220560行
  2. 从速度上来说,gobuster远胜于dirsearch。因为gobuster扫完了220560行的字典时,dirsearch才扫描87664行字典的一半。
常规目录扫描
dirsearch -u http://192.168.56.115/

加强版文件扫描
dirsearch -u http://192.168.56.115/ -f -e html,php,txt -w /usr/share/SecLists-2022.2/Discovery/Web-Content/directory-list-2.3-small.txt
gobuster dir -r -u http://192.168.56.110/site/ -x txt,html,php -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -t 100

从下图中可以看出,普通扫描发现了“joomla”站点,加强版文件扫描发现了一个文件“note.txt”,阅读后得知靶机还存在一个域名,绑定host即可查看(浏览器必须支持HTTP3),这里就有了一个很尴尬的问题,我怎么去访问http3呢?网上的教程尝试之后失败了,不清楚原因。我这里查看靶机攻略后得知,http3访问了此域名后会看到一个提示信息,靶机上存在一个敏感页面internalResourceFeTcher.php
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

joomscan 扫描

既然是joomla站点,先来joomscan 扫描看看

  1. 直接扫描:joomscan -u "http://192.168.56.115",只发现了joomla后台
  2. 指定路扫描:joomscan -u "http://192.168.56.115/joomla"

发现了一个备份的配置文件
在这里插入图片描述

下载备份文件,发现在靶机存在一个名为“joomla”的mysql数据库。
在这里插入图片描述

发现SSRF漏洞

打开敏感页面internalResourceFeTcher.php后,有个框框,直接填写个内容。观察到浏览器url栏中,赫然写着url=123,而网页上写着“欢迎来到内部网络资源获取页面 ”,能通过web方式访问到内网资源的,就是SSRF啊。
在这里插入图片描述

检查一下,确认存在SSRF漏洞
在这里插入图片描述

关于SSRF漏扫的补充

我花了点时间研究了下能检测SSRF的工具,结果是很失望。

  1. burpsuite插件ssrf-king

这是一个被动检测SSRF的插件,在我已经明确验证SSRF的前提下,插件没有发现SSRF漏洞
在这里插入图片描述

  1. burpsuite插件Burp Bounty Pro

手工指定“Burp Bounty Pro”插件以GET方法扫描指定页面有无SSRF,发现了SSRF漏洞
在这里插入图片描述

  1. burpsuite插件J2EE

J2EEScan是一款可以用来被动扫描基于java开发的web程序,这里很意外,让BurpSuite直接扫描此页面,J2EEScan竟然发现了疑似SSRF漏洞,SSRF-King继续保持了沉默
在这里插入图片描述

  1. SSRFmapp

这是一个在github上有着1.9K小星星的项目,一个用来实现自动SSRF模糊利用工具。
项目地址:https://github.com/swisskyrepo/SSRFmap
实际体验感觉不大好,下图中,我按照项目地址介绍的方法进行端口扫描,看似能扫出一个端口,然而只能扫出这一个端口,看一眼抓到的数据包你就会明白为什么啥都没扫出来。
在这里插入图片描述

在这里插入图片描述

此外,发现这个工具与下文介绍的“Gopherus”有重合,都能生成Gopher有效载荷,但是ssrfmap没有后者操作简单,而且还容易出现警告、错误信息。
在这里插入图片描述

综上,放弃ssrfmap工具。

利用SSRF漏洞

漏洞利用:这里着重介绍Gopher协议

Gopher在HTTP协议前是非常有名的信息查找系统,但是随着web技术的发展,很少服务会用到Gopher了,但是!在SSRF漏洞中,它大方光彩,让SSRF漏洞利用更加广泛,理论上只要后端应用是基于TCP协议的,前端存在SSRF漏洞,并且我们可以使用Gopher访问后端的端口,那么我们就可以使用Gopher访问几乎所有基于TCP的应用(对ftp,memchahe,mysql,telnet,redis,等服务进行攻击),可以构造发送GET,POST请求包。

说白了就是:通过SSRF漏洞,让服务器发送自己精心构造的GET或者POST请求包
格式:

gopher://<host>:<post>/<gopher-path>_后面接TCP数据流

利用要点(未验证):

  1. PHP版本大于等于5.3
  2. PHP.ini开启了php_curl
  3. gopher没有默认端口,需要指定:gopher://127.0.0.1:80
  4. 在传送GET或POST数据时需要经过二次URl编码
  5. url编码时回车换行需要使用%0d%0a替换%0a
  6. POST中的&也需要url编码。

利用方式:

  1. 利用SSRF进行内网渗透
  2. gopher协议反弹shell
  3. 超级经典的redis写入webshell

1. 验证Gopher协议

访问80端口没反应,仔细看的话,会注意到浏览器一直在加载,测试效果不明显,但是换成22端口立马出现结果了。这都证明了可以利用Gopher协议
在这里插入图片描述

在这里插入图片描述

2. 确认数据库

上面通过joomscan扫描发现了敏感文件,得知靶场有mysql数据库,确认一下,发现网站又开始加载了,说明数据库端口没问题。如果输入正确的连接数据库的命令,理论上我们是可以看到连接结果的。手工构造命令是不可能的,直接上工具。
在这里插入图片描述

3. 利用工具

  1. 安装与介绍

工具的使用相当简单,只需要输入一个参数即可。
在这里插入图片描述

  1. 查询表中所有列

在这里插入图片描述

经过数十次的尝试,终于查询出结果了。【需要多次尝试】
在这里插入图片描述

通过搜索,定位出符合期待的一个表
在这里插入图片描述

  1. 查询表中所有数据

在这里插入图片描述

依然是经过多次尝试后成功查询出数据,根据对比,能找到 site_admin 用户的密码,但是破解很难,不如更新用户密码来得简单。
在这里插入图片描述

  1. 更新用户密码
设置密码123
echo -n "123" | md5sum

执行更新密码
use joomla; update joomla_users SET password='202cb962ac59075b964b07152d234b70' WHERE username='site_admin';

在这里插入图片描述

经过多次输入过,页面出现了如下反应,然后就可以登录网站了。
在这里插入图片描述

反弹shell

寻找上传点

找到“error.php”页面,粘贴反弹shell的内容
在这里插入图片描述

在这里插入图片描述

拿到shell-Flag1

网上随便搜一下 error.php 的页面位置,在http://cn-sec.com/archives/286076.html 中看到了/templates/beez3/error.php,于是拼接得到路径:http://192.168.56.115/joomla/templates/beez3/error.php
在这里插入图片描述

在这里插入图片描述

敏感文件-SSH登录

发现了敏感文件:/home/snape/.creds.txt,base64解码后发现是Love@lilly,然后就SSH登录了。
在这里插入图片描述

敏感文件-SSH偷梁换柱

经过一番简单搜索,发现 hermoine 用户的家目录里面存在一个具有suid权限的文件:su_cp,那么思路就来了,在kali下生成SSH公钥密码对,然后把公钥拷贝到 hermoine 用户的 ssh 目录下,那么我就可以在kali上用私钥以 hermoine 的身份SSH连接到靶机了
在这里插入图片描述

  1. 在kali下生成SSH公钥密码对,并投递到靶机上

在这里插入图片描述

  1. 把公钥丢到 hermoine 用户的 ssh 目录下
chmod 640 id_rsa.pub
mv id_rsa.pub authorized_keys
/home/hermoine/bin/su_cp -p /home/snape/authorized_keys /home/hermoine/.ssh/

注意:

  • 需要设置ssh公钥权限为640(关于权限参见:)
  • 需要修改文件名:mv id_rsa.pub authorized_keys,否则ssh连接时需要密码

相关阅读:https://blog.csdn.net/qq_26400953/article/details/105145103
https://mp.weixin.qq.com/s/azDzb1AA8iwk4JLjMecwag

在这里插入图片描述

  1. ssh免密连接

在这里插入图片描述

flag2

在这里插入图片描述

提权-firefox密码泄露

在 hermoine 用户家里发现了隐藏目录mozilla,一般来说,这个目录里面包含有火狐浏览器的扩展、用户信息,以及保存到账号密码。我计划把这些内容全部复制到kali上,然后在kali上面安装工具,来提取浏览器中保存的账号信息。

  1. 下载信息
scp -rp hermoine@192.168.56.115:/home/hermoine/.mozilla /root/test

在这里插入图片描述

  1. 下载提取信息的工具

Firefox Decrypt是一个从Mozilla(Firefox,Waterfox™™,Thunderbird®,SeaMonkey)配置文件中提取密码的工具。项目地址:https://github.com/unode/firefox_decrypt
在这里插入图片描述

总结

在这里插入图片描述

lainwith
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssrf-king:用于burp的SSRF插件可在所有请求中自动进行SSRF检测
03-07
:fire: 自卫队 :fire: v1.12最新 burp的SSRF插件,可在所有请求中自动进行SSRF检测 如果您遇到任何问题或想要下面未列出的新功能,请在此表格中创建一个新的问题 即将发布的功能清单 :check_mark: 它将很快有一个用户界面来指定您自己的回叫有效负载 它将很快能够测试Json和XML 测试SMTP SSRF 如何安装/建造 git clone https://github.com/ethicalhackingplayground/ssrf-king gradle build 现在可以在build / libs下找到文件“ ssrf-king.jar”,然后可以将其导入Burpsuite。 另外,goto可以下载编译的文件。 特征 :check_mark: 测试所有外部交互的请求。 :check_mark: 检查是否有任何交互不是用户IP(如果有的话),它是一个开放的重定向。 :check_mark: 提醒用户任何外部交互,包括以下信息:
探索BurpBounty:一款强大的Web安全扫描工具
最新发布
gitblog_00076的博客
03-25 978
探索BurpBounty:一款强大的Web安全扫描工具 项目地址:https://gitcode.com/wagiro/BurpBounty 项目简介 BurpBounty 是一个基于流行的安全测试工具Burp Suite 的扩展插件,旨在帮助渗透测试人员和安全研究人员更加高效地发现Web应用程序中的漏洞。这个项目将Burp Suite的功能进一步增强了,使其在自动化安全扫描方面更具优势。 技术...
我的BurpSuite挖漏洞的一些技巧
hackzkaq的博客
08-09 3604
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 关于”从burp的使用到支付和暴破“,也有一期视频教程,可以文末扫码领取 关联阅读: Burpsuite技巧 | 之加密密码爆破、带验证码爆破 渗透测试神器|一文带你精通Burp 一.前言 用了好久低版本的Burp, 最近发现Burp有个全新的改动,所以重新配置一下,然后记录了自己的过程,就打算分享一下自己平时利用Burpsuite进行挖洞的一些技巧。 二.Burp安装与破解 访问官网直接下载Mac OS的安装版:https://ports
工具推荐——三个Burp插件
浪飒sec
11-09 646
用于web渗透注册时,快速生成需要的资料用来填写,资料包含:姓名、手机号、身份证、统一社会信用代码、组织机构代码、银行卡,以及各类web语言的hello world输出和生成弱口令字典。本插件主要用于分块传输绕WAF。关注浪飒sec公众号回复。
Burp 扩展武器库
黑剑
03-19 3004
CORS 跨域漏洞 插件 分为简单的请求、非简单的请求简单简单的自动请求自动使用Origin,返回结果为浏览器中包含请求:Access-Control-Allow-Origin: origin_host or * Access-Control-Allow-Credentials: true Access-Control-Expose-Headers: response_header1, response_header2 简单简单的浏览器发送预检请求,即发送请求方法,如果预检请求通过非请求请求,再次发送Opt
Vulnhub靶机系列:De-ICE: S1.120
01-09
靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有简单指导Vulnhub靶机系列:pWnOS: 2.0另外iso文件如何导入就不赘述了,安装完最好重启一下。完成上述步骤后可以netdiscover一下确定。 利用...
Vulnhub靶机系列:Kioptrix: Level 1.2 (#3)
01-09
这次的靶机Vulnhub靶机:Kioptrix: Level 1.2 (#3) 文章目录靶机地址及相关描述靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址及相关描述 https://www.vulnhub.com/entry/kioptrix-level-12-3,24/ ...
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
burp-bounty-profiles:Burp Bounty个人资料编辑,随时为您贡献力量!
05-28
打bur赏金概况 这是扩展程序的个人资料集合,请随时使用和贡献! 指示 将加载到Burp Suite中后,转到Burp Bounty Options选项卡,并设置克隆此存储库的计算机的路径。 您可以支持这项工作给我买杯咖啡:
Burp Suite Pro(黑客必备工具详解)
weixin_50904074的博客
06-29 9816
目录一、Burp Suite Pro 工具简介二、Burp Suite 常用模块详解和使用1、Dashboard(仪表盘,用于显示任务、日志信息、漏洞扫描信息等) 1.1 Tasks 1.2 lssue activity1.3 Event log 2、Target(目标)2.1 Site map(站点地图)2.2 Scope(范围)2.3 lssue definitions(漏洞详解) 3、Proxy(代理)3.1 Intercept(数据拦截模块)3.2 HTTP histor
SSRF被动检测插件-ssrf-king
siu~
09-01 909
一款好用的SSRF被动检测插件。
vulnhub靶场-Nagini
qq_42947816的博客
11-01 1807
Nagini 是 HarryPotter VM 系列的第二个 VM,您需要在其中找到隐藏在机器内的 3 个魂器(哈利波特系列的 3 个 VM 中总共隐藏了 8 个魂器)并最终击败 Voldemort
VulnHub靶场】——HARRYPOTTER第二部: NAGINI
Demo不是emo的博客
10-04 3774
这是哈利波特vm系列靶场的第二个靶场,总共有三个靶场,其中隐藏了8个魂器,上一期的第一个靶场中隐藏了2个魂器,今天这个靶场中隐藏了三个,意思就是今天的靶场有三个flag,话不多说我们来见识见识
如何使用SSRF-King在BurpSuite中实现自动化SSRF检测
yggcwhat
01-07 1008
如何使用SSRF-King在BurpSuite中实现自动化SSRF检测 Alpha_h4ck2021-02-03 12:37:352037643 SSRF-King SSRF-King是一款针对BurpSuite的SSRF插件,在该工具的帮助下,广大研究人员能够针对所有的请求实现自动化的SSRF检测。 SSRF,即Server-side Request Forge服务端请求伪造,指的是由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务。 功能介绍 测试所...
VnlnHub Nagini
weixin_45682839的博客
10-13 542
设计知识:端口服务探测、敏感目录收集、HTTP3的运用、SSRF(服务器请求伪造)、Joomla后台getshell、主机信息搜集、浏览器密码提取等。
【CyberSecurityLearning 72】DC系列之DC-3渗透测试(Joomla)
_Co1a
04-24 845
目录 DC-3靶机渗透测试 一、实验环境 二、渗透过程演示 1、信息搜集 2、SQL注入 3、登录后台 4、反弹shell 5、提权 总结: DC-3靶机渗透测试 DC-3也是一个黑盒测试,我们所能知道的只有它的MAC地址,我们可以根据它的MAC地址来确定IP地址 一、实验环境 实验环境: kali2021:192.168.3.155/24(桥接到vmnet0) 靶机环境DC-3(桥接到vmnet0,MAC地址:00:0C:29:2C:47:A4) ...
vulnhub靶机系列:
09-09
关于Vulnhub靶机系列,我可以提供一些信息。Vulnhub是一个开放的漏洞测试平台,提供了一系列用于学习和实践渗透测试的虚拟机。这些虚拟机包含了各种不同的漏洞,供安全爱好者和专业人员练习渗透测试技巧。 Vulnhub...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值