HARRYPOTTER: ARAGOG (1.0.2)靶场练习KALI操作获得flag

靶场链接：https://www.vulnhub.com/entry/harrypotter-aragog-102,688/

信息收集

开局nmap

gobuster web扫描

访问/blog发现是个wordpress

需要添加hosts (这里我已经添加了)

wpscan扫描wordpress
（存在wp-admin用户）

插件扫描,存在wp-file-manager插件，版本6.0

wpscan --url http://aragog.hogwarts/blog -t 20 --plugins-detection aggressive

• 1

这个版本存在任意文件上传，利用该洞getshell即可

得到shell

权限提升

得到flag，并得知/home目录下查找ginny和hagrid98用户

原本以为/var/www/html下是存放wordpress的路径，查看后发现不是。最后在/usr/share/wordpress发现数据库配置文件

find / -maxdepth 5 -type f -writable 2> /dev/null | grep -v "/proc"
find / -maxdepth 5 -type f -writable 2> /dev/null | grep -v "/proc" | grep "config"

查询数据库得到wp-admin用户的密码

use wordpress;
select * from wp_users;

cmd5查询得到密码

ssh撞密码得

后续常规linux提权检测发现没有有用的东西，上pspy检测root权限的进程，最后发现有个定时任务执行/opt/.backup.sh

里面插入反弹shell等待即可获得root shell

wp-file 任意文件上传分析

漏洞点位于file manager的connector.minimal.php文件，具体路径在wordpress\wp-content\plugins\wp-file-manager\lib\php\connector.minimal.php

首先实例化一个elFinderConnector对象，然后调用它的run()方法，跟进run()
跟进到FILES数据判断

最后调用exec函数进入到文件上传处理点

Upload函数（关键点是Content-Type类型存在image即进入文件保存）