本文由 简悦 SimpRead 转码， 原文地址 mp.weixin.qq.com

一个每日分享渗透小技巧的公众号

大家好，这里是 大余安全 的第 123 篇文章，本公众号会每日分享攻防渗透技术给大家。

靶机地址：https://www.hackthebox.eu/home/machines/profile/126

靶机难度：中级（4.8/10）

靶机发布日期：2018 年 7 月 21 日

靶机描述：

Aragog is not overly challenging, however it touches on several common real-world vulnerabilities, techniques and misconfigurations.

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的 IP 是 10.10.10.78....

Nmap 发现了 vsftpd（已启用匿名登录），并开启了 OpenSSH 和 Apache 服务器....

直接匿名登录 ftp... 并发现了 test.txt 文件，下载...

在内部，我们看到了一些 XML，估计要利用注入 sql 或者 XXS 等攻击行为...

web 是个 apache2 页面..

直接目录爆破仅发现了 hosts.php 页面....

看到不完整的数字信息....

通过前面 XML 信息，可以将 XML 数据发布到页面并获得一些输出

是否可以利用 XML 外部实体（XXE）攻击起作用？并注入一些 XML 以在系统上读取文件？试试

首先，将 XML 文件修改为以下内容，以测试是否可以读取 / etc/passwd...

https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XXE%20Injection

这里通过 github 找到了 XXE 攻击的利用方式....

果然，利用 xml 输入可以进行入站 XXE 攻击来读取文件信息...

通过枚举，直接读取靶机的 id_rsa 信息，获得了密匙...（因为靶机 ssh 开启了服务肯定是 rsa 登录）

二、提权

直接利用 rsa 成功登录，获得了 user_flag 信息....

在 www/html 页面发现隐藏页面信息.... 很多内容....

直接访问发现存在问题，页面无法读取... 应该是域名问题...

直接将 aragog aragog.htb 添加到 hosts 即可...

cliff 告诉我们两件事，他经常登录该页面，并且该站点也正在恢复.... 仔细检查

我通过访问 admin.php 直接进入了登录页面，但是页面 url 跳转到了 wp-login.php 文件下...

利用 pspy32 监听了靶机内所有进程情况，等待了 5~7 分钟，发现了一个规律，wp-login.php 为 UID = 1001 在调用，然后每一分钟准时调用一次....

https://stackoverflow.com/questions/3718307/php-script-to-log-the-raw-data-of-post

如何利用 wp-login.php 获取 admin-php 页面的登录密码？在 google 看到了这篇调用文章....

直接删除掉该文件，重新创建个，将文章方法添加入测试....

等待一分钟后，成功获得了 administrator 密码....

由于前面知道这是 UI=1001 在调用的，以为该密码是 cliff 用户的登录密码... 但是无权登录...

尝试 su_root 直接成功登录获得了 root 权限用户外壳....

成功获得了 root_flag 信息....

由于我们已经成功得到 root 权限查看 user 和 root.txt，因此完成这台中级的靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。

如果觉得这篇文章对你有帮助，可以转发到朋友圈，谢谢小伙伴~

随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~

欢迎加入渗透学习交流群，想入群的小伙伴们加我微信，共同进步共同成长！

大余安全

一个全栈渗透小技巧的公众号