No.124-HackTheBox-Linux-Aragog-Walkthrough滲透學習

**

HackTheBox-Linux-Aragog-Walkthrough

**

靶機地址：https://www.hackthebox.eu/home/machines/profile/126
靶機難度：中級（4.8/10）
靶機發布日期：2018年7月21日
靶機描述：
Aragog is not overly challenging, however it touches on several common real-world vulnerabilities, techniques and misconfigurations.

作者：大餘
時間：2020-06-04

請注意：對於所有這些計算機，我是通過平臺授權允許情況進行滲透的。我將使用Kali Linux作爲解決該HTB的攻擊者機器。這裏使用的技術僅用於學習教育目的，如果列出的技術用於其他任何目標，我概不負責。

一、信息收集

可以看到靶機的IP是10.10.10.78…

Nmap發現了vsftpd（已啓用匿名登錄），並開啓了OpenSSH和Apache服務器…

直接匿名登錄ftp…並發現了test.txt文件，下載…

在內部，我們看到了一些XML，估計要利用注入sql或者XXS等攻擊行爲…

web是個apache2頁面…

直接目錄爆破僅發現了hosts.php頁面…

看到不完整的數字信息…

通過前面XML信息，可以將XML數據發佈到頁面並獲得一些輸出
是否可以利用XML外部實體（XXE）攻擊起作用？並注入一些XML以在系統上讀取文件？試試
首先，將XML文件修改爲以下內容，以測試是否可以讀取/etc/passwd…

https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XXE%20Injection
這裏通過github找到了XXE攻擊的利用方式…

果然，利用xml輸入可以進行入站XXE攻擊來讀取文件信息…

通過枚舉，直接讀取靶機的id_rsa信息，獲得了密匙…（因爲靶機ssh開啓了服務肯定是rsa登錄）

二、提權

直接利用rsa成功登錄，獲得了user_flag信息…

在www/html頁面發現隱藏頁面信息…很多內容…

直接訪問發現存在問題，頁面無法讀取…應該是域名問題…
直接將aragog aragog.htb添加到hosts即可…

cliff告訴我們兩件事，他經常登錄該頁面，並且該站點也正在恢復…仔細檢查

我通過訪問admin.php直接進入了登錄頁面，但是頁面url跳轉到了wp-login.php文件下…

利用pspy32監聽了靶機內所有進程情況，等待了5~7分鐘，發現了一個規律，wp-login.php爲UID = 1001在調用，然後每一分鐘準時調用一次…

https://stackoverflow.com/questions/3718307/php-script-to-log-the-raw-data-of-post
如何利用wp-login.php獲取admin-php頁面的登錄密碼？在google看到了這篇調用文章…

直接刪除掉該文件，重新創建個，將文章方法添加入測試…
等待一分鐘後，成功獲得了administrator密碼…

由於前面知道這是UI=1001在調用的，以爲該密碼是cliff用戶的登錄密碼…但是無權登錄…
嘗試su_root直接成功登錄獲得了root權限用戶外殼…
成功獲得了root_flag信息…

由於我們已經成功得到root權限查看user和root.txt，因此完成這臺中級的靶機，希望你們喜歡這臺機器，請繼續關注大餘後期會有更多具有挑戰性的機器，一起練習學習。

如果你有其他的方法，歡迎留言。要是有寫錯了的地方，請你一定要告訴我。要是你覺得這篇博客寫的還不錯，歡迎分享給身邊的人。