HTB-靶机-Aragog

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.78

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.78 -o ./Aragog-autorecon

开放了3个端口，根据nmap的扫描结果，开放的ftp服务可以匿名登录并且上面有个文件test.txt将其下载下来得到如下信息

看此信息是个xml类型的文件内容，有可能跟xxe有关，再看看爆破的目录效果

发现了个有用的hosts.php文件，访问看看

没啥重要信息，想想把上面结果起来看看，使用burpsuite重放请求，具体关于xxe的攻击参考：https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XXE%20Injection

根据上面显示，增加xxe攻击代码，构造语句，得出下面测试代码

知道了有两个用户，读取每个用户的密钥试试，但是只成功了一个，具体如下

将得到的密钥复制到本地给权限600然后ssh登录到目标靶机

准备开始提权了，查看了目标靶机的系统内核和所使用的操作系统

确认系统架构之后开始监控下系统进程运行的情况，这里使用pspy这个款工具，前面也介绍到了，链接：https://github.com/DominicBreuker/pspy

确认每分钟都有计划任务在执行目标靶机的登录功能，查看下网站根目录发现存在dev_wiki这个目录，访问的时候会自动跳转一个域名，通过本地绑定hosts来完成正常访问，没发现啥东西，还是直接修改上述计划任务执行的wp-login.php文件，因为目录dev_wiki是777权限，所有人都可以进行修改，修改成如下代码

<?php
file_put_contents("bmfx.log", print_r($_POST, true));
?>

最终得到密码

使用su直接切换至root用户