vulnhub ARAGOG

  1. 信息收集
  2. 权限提升
  3. wp-file 任意文件上传分析

靶场链接:http://www.vulnhub.com/entry/harrypotter-aragog-102,688/

信息收集

开局nmap

gobuster web扫描

访问/blog发现是个wordpress

需要添加hosts (这里我已经添加了)

wpscan扫描wordpress
(存在wp-admin用户)

插件扫描,存在wp-file-manager插件,版本6.0

wpscan --url http://aragog.hogwarts/blog -t 20 --plugins-detection aggressive

这个版本存在任意文件上传,利用该洞getshell即可

得到shell

权限提升

得到flag,并得知/home目录下查找ginny和hagrid98用户

原本以为/var/www/html下是存放wordpress的路径,查看后发现不是。最后在/usr/share/wordpress发现数据库配置文件

find / -maxdepth 5 -type f -writable 2> /dev/null | grep -v "/proc"
find / -maxdepth 5 -type f -writable 2> /dev/null | grep -v "/proc" | grep "config"

查询数据库得到wp-admin用户的密码

use wordpress;
select * from wp_users;

cmd5查询得到密码

ssh撞密码得

后续常规linux提权检测发现没有有用的东西,上pspy检测root权限的进程,最后发现有个定时任务执行/opt/.backup.sh

里面插入反弹shell等待即可获得root shell

wp-file 任意文件上传分析

漏洞点位于file manager的connector.minimal.php文件,具体路径在wordpress\wp-content\plugins\wp-file-manager\lib\php\connector.minimal.php

首先实例化一个elFinderConnector对象,然后调用它的run()方法,跟进run()
跟进到FILES数据判断

最后调用exec函数进入到文件上传处理点

Upload函数(关键点是Content-Type类型存在image即进入文件保存)

详细分析链接:https://www.anquanke.com/post/id/216990


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:vulnhub ARAGOG

本文作者:九世

发布时间:2021-06-16, 20:46:42

最后更新:2021-06-16, 21:18:25

原始链接:http://422926799.github.io/posts/21b3e8d6.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录