VulnHub_HarryPotter:Aragog (1.0.2)靶机
文章目录
- 靶机介绍
- 渗透过程
- 获取ip
- 端口扫描
- 信息收集
- 漏洞扫描及利用获取shell
- 提权
靶机介绍
下载地址:https://www.vulnhub.com/entry/harrypotter-aragog-102,688/
作者Mansoor R在VulnHub上上传了哈利波特系列的三个靶机,以哈利波特为故事背景,玩家需要找到这三个靶机中的共8个魂器,打败伏地魔!这就冲起来!
首先是第一个靶机Aragog,以《哈利波特·密室》中的海格饲养的大蜘蛛阿拉戈命名,题目中提示这个靶机里面有两个魂器。
渗透过程
获取ip
从VlunHub上下载靶机,在virtualbox或者VMware上打开,设置网络模式为桥接,让靶机和kali以及主机在一个局域网里。
开启靶机,这里它直接提供了自己的IP,192.168.0.106。
当然,我们自己也能得到这个靶机的IP。打开kali(同样设置桥接网络),扫描靶机IP。
arp-scan -l
ARP(Address Resolution Protocol 地址解析协议),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
arp-scan可以用来扫面局域网内的主机,我们在virtualbox上打开靶机和Kali,可以通过这种方式快速扫描到靶机的IP。
PCS Systemtechnik GmbH这一行就是靶机的IP。
端口扫描
用nmap做一下端口扫描。
nmap -sT 192.168.0.106
结果如下:
我们可以看出,这个靶机可以用ssh登录,也可以用http访问。ssh登录得账号密码呀,我们先登一下http。
主页这张图片真是让我DNA动了。我把这个图片下下来,用exiftool看了,期待能有什么线索,并没有什么发现,而且这个网页就放了这一张图片。接下来,看看这个网站还有什么别的目录。
信息收集
使用dirb来扫描Web服务
dirb 192.168.0.106
dirb是一个基于字典的web目录扫描工具,会用递归的方式来获取更多的目录,它还支持代理和http认证限制访问的网站
格式:dirb <url_base> [<wordlist_file(s)>] [options]
-a 设置user-agent
-p <proxy[:port]>设置代理
-c 设置cookie
-z 添加毫秒延迟,避免洪水攻击
-o 输出结果
-X 在每个字典的后面添加一个后缀
-H 添加请求头
-i 不区分大小写搜索
结果:
这里会扫出来的目录有:
http://192.168.0.106/index.html
http://192.168.0.106/javascript
http://192.168.0.106/server-status
http://192.168.0.106/blog
一堆blog下子目录
依次try 一 try,发现blog有点东西。
赤裸裸的提示啊有没有。
Just another WordPress site.
We will be deleting some of our unused wordpress plugins in future as security best practices.
WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。
那么思路就是找到这个版本的WordPress有什么插件的漏洞。
漏洞扫描及利用获取shell
用wpscan,去注册个账号获取api-token。
export WPTOKEN=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
wpscan --api-token=$WPTOKEN --url=http://192.168.0.106/blog -e p --plugins-detection aggressive
在插件中扫出了4个漏洞,依次点击它们的网址,其中File Manager 6.0-6.9 -Unauthenticated Arbitrary File Upload leading to RCE这个提供了poc脚本。
下载这个脚本到本地。
打开脚本,查看脚本用法。
根据这个用法解释,我们就知道怎么使用了。这个漏洞可以让我们上传任意文件,或者远程执行代码。Kali自带php反弹shell的脚本,我们把它复制到当前文件夹下,并改名为payload.php
修改其中的ip为kali的IP,端口号记住。
然后再执行那条指令把payload.php上传。
python3 2020-wp-file-manager-v67.py http://192.168.0.106/blog
用nc监听刚刚的那个端口,然后登录这个网站,获取shell。这里这个网址多了一个blog,把它去掉。
nc -lnvp 1234
这时候看看home目录,第一个魂器就出现了。在海格98目录下有魂器1的文档,解码后是“里德尔的日记本被哈利在密室中摧毁”。
提权
接下来就是找第二个魂器。我们要获取root权限。wordpress用户会在mysql数据库中存储信息,在/etc/wordpress里可以打开config-default.php。这里记录了MySQL的用户名密码。
登录数据库,首先得获取一个tty shell,不然看不到mysql的输出。
python -c 'import pty; pty.spawn("/bin/sh")'
这里有用户名以及哈希后的密码。
于是我们就获得了用户名:hagrid98,密码password123。
ssh登录一下。
然后我们可以用 linpeas.sh这个辅助提权工具。首先在kali上下好linpeas,然后开9000端口,在靶机ssh终端下把它复制到/tmp文件夹下。
python3 -m http.server 9000
执行。
chmod +x ./linpeas.sh
./linpeas.sh
这里找到一个backup.sh。这个脚本负责复制这个uploads到tmp里面。属于那种隔段时间就会执行的脚本。
用pspy64看一下执行这个脚本的用户。
在kali上下载pspy64,然后复制到靶机/tmp目录下。
pspy64地址:https://github.com/DominicBreuker/pspy
就还是开一个端口,下到靶机上,执行。
可以看到,这个脚本的UID是0。
那我们就可以改一下这个脚本。让它在执行这个脚本的时候,返回root权限用户的bash,然后bash -p就行。
改好后就再等一段时间,看到tmp文件夹下有bash生成。
然后找魂器!
第二个魂器get。“马沃罗·冈特的戒指被邓布利多摧毁”。
接下来还有6个魂器,加油!
VulnHub_HarryPotter:Aragog (1.0.2)靶机相关推荐
- 6-vulnhub靶场-LordOfTheRoot_1.0.1靶机内核提权udf提权缓冲区溢出提权
6-LordOfTheRoot_1.0.1 靶机地址 https://www.vulnhub.com/entry/lord-of-the-root-101,129/ 难度 中等(主要是缓冲区溢出) 1 ...
- VulnHub1:Jangow: 1.0.1靶机入侵
VulnHub1:Jangow: 1.0.1靶机入侵 信息搜集: 扫描端口 发现命令执行漏洞 uname 一句话木马 上蚁剑 提权 方法1 方法2 VulnHub1:Jangow: 1.0.1靶机入侵 ...
- relativity (v1.0.1)靶机
relativity (v1.0.1)靶机 arp-scan -l 扫描靶机IP地址 nmap -sV -Pn -A x.x.x.242 nmap 查看开放的端口 访问80端口 dirb 进行扫描,无 ...
- 【HACKER KID: 1.0.1靶机】
信息搜集 开启靶机. 使用nmap扫描,发现存活靶机,192.168.85.145,靶机开放端口为53,80,9999. 进一步搜集下对应段开启的服务. 发现,9999端口开启的是tornado服务. ...
- vulnhub_ODIN: 1靶机
文章目录 靶机信息 渗透过程 获取ip 端口扫描 修改/etc/hosts 访问靶机http 获取shell 获取root权限 这个作者的一系列皮操作 靶机信息 下载地址:http://www.vul ...
- Vulnhub项目:Aragog
1.靶机地址: HarryPotter: Aragog (1.0.2) ~ VulnHub 死亡圣器三部曲之第一部,Aragog是海格养的蜘蛛的名字, 并且又牵扯到了密室 2.渗透过程 确定靶机ip, ...
- Vulnhub——JANGOW: 1.0.1
靶机下载地址:Vulnhub--JANGOW: 1.0.1 靶机安装好以后界面如下图: 这个靶机比较的人性化,不用我们去扫了,直接Nmap nmap -A -p- -T4 -Pn 10.36.101. ...
- 小白的靶机VulnHub-Temple of Doom
靶机地址:https://www.vulnhub.com/entry/temple-of-doom-1,243/ 开机界面就是这 确定 靶机的ip地址:192.168.0.114 靶机开放了22端口6 ...
- Eric靶机渗透测试
Eric靶机渗透练习 攻击机:kali Ip:192.168.0.3 靶机:eric Ip:192.168.0.4 找到靶机ip:192.168.0.4 nmap -sF 192.168.0.0/24 ...
最新文章
- 微服务架构之「 API网关 」
- 13 款惊艳的 Node.js 框架——第1部分
- 没学过python、但是还是有公司要-转行Python开发自学还是报班?老男孩全日制学习...
- 原相机水印怎么改字_抖音/自媒体做影视二次剪辑,如何下载高清无水印视频?...
- c#加入json库引用_C#如何通过匿名类直接使用访问JSON数据详解
- LiveVideoStack Meet | 苏州:视频会议研发中心一日游
- python取的键不存在_Python3基础 dict get 在查询不存在的键时,返回指定的内容
- H3C题库HCNE的 最新
- 看了它就能看懂心电图室大部分心电图
- Cython使用问题集合
- Pandas完美读取html格式的Excel所有隐藏数据
- linux安装OceanBase数据库
- 数据挖掘——正规方程拟合直线
- java之 ------ 枚举类型
- C语言编程-----求s=a+aa+aaa+aaaa+aa...a的值
- filecoin benchmarks v25 GeForce GTX 1080 Ti
- windows安装golang多版本管理工具gvm/g
- 华为联运服务登录支付签名
- 淘宝美食数据分析实战,三只松鼠居然这么强?
- kettle—资源库详解