No.124-HackTheBox-Linux-Aragog-Walkthrough渗透学习

**

HackTheBox-Linux-Aragog-Walkthrough

**

靶机地址：https://www.hackthebox.eu/home/machines/profile/126
靶机难度：中级（4.8/10）
靶机发布日期：2018年7月21日
靶机描述：
Aragog is not overly challenging, however it touches on several common real-world vulnerabilities, techniques and misconfigurations.

作者：大余
时间：2020-06-04

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.78…

Nmap发现了vsftpd（已启用匿名登录），并开启了OpenSSH和Apache服务器…

直接匿名登录ftp…并发现了test.txt文件，下载…

在内部，我们看到了一些XML，估计要利用注入sql或者XXS等攻击行为…

web是个apache2页面…

直接目录爆破仅发现了hosts.php页面…

看到不完整的数字信息…

通过前面XML信息，可以将XML数据发布到页面并获得一些输出
是否可以利用XML外部实体（XXE）攻击起作用？并注入一些XML以在系统上读取文件？试试
首先，将XML文件修改为以下内容，以测试是否可以读取/etc/passwd…

https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XXE%20Injection
这里通过github找到了XXE攻击的利用方式…

果然，利用xml输入可以进行入站XXE攻击来读取文件信息…

通过枚举，直接读取靶机的id_rsa信息，获得了密匙…（因为靶机ssh开启了服务肯定是rsa登录）

二、提权

直接利用rsa成功登录，获得了user_flag信息…

在www/html页面发现隐藏页面信息…很多内容…

直接访问发现存在问题，页面无法读取…应该是域名问题…
直接将aragog aragog.htb添加到hosts即可…

cliff告诉我们两件事，他经常登录该页面，并且该站点也正在恢复…仔细检查

我通过访问admin.php直接进入了登录页面，但是页面url跳转到了wp-login.php文件下…

利用pspy32监听了靶机内所有进程情况，等待了5~7分钟，发现了一个规律，wp-login.php为UID = 1001在调用，然后每一分钟准时调用一次…

https://stackoverflow.com/questions/3718307/php-script-to-log-the-raw-data-of-post
如何利用wp-login.php获取admin-php页面的登录密码？在google看到了这篇调用文章…

直接删除掉该文件，重新创建个，将文章方法添加入测试…
等待一分钟后，成功获得了administrator密码…

由于前面知道这是UI=1001在调用的，以为该密码是cliff用户的登录密码…但是无权登录…
尝试su_root直接成功登录获得了root权限用户外壳…
成功获得了root_flag信息…

由于我们已经成功得到root权限查看user和root.txt，因此完成这台中级的靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。