HackTheBox-Linux-Aragog

靶机地址：https://www.hackthebox.eu/home/machines/profile/126

靶机难度：中级（4.8/10）

靶机发布日期：2018年7月21日

靶机描述：

Aragog is not overly challenging, however it touches on several common real-world vulnerabilities, techniques and misconfigurations.

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.78....

Nmap发现了vsftpd（已启用匿名登录），并开启了OpenSSH和Apache服务器....

直接匿名登录ftp...并发现了test.txt文件，下载...

在内部，我们看到了一些XML，估计要利用注入sql或者XXS等攻击行为...

web是个apache2页面..

直接目录爆破仅发现了hosts.php页面....

看到不完整的数字信息....

通过前面XML信息，可以将XML数据发布到页面并获得一些输出

是否可以利用XML外部实体（XXE）攻击起作用？并注入一些XML以在系统上读取文件？试试

首先，将XML文件修改为以下内容，以测试是否可以读取/etc/passwd...

https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XXE%20Injection

这里通过github找到了XXE攻击的利用方式....

果然，利用xml输入可以进行入站XXE攻击来读取文件信息...

通过枚举，直接读取靶机的id_rsa信息，获得了密匙...（因为靶机ssh开启了服务肯定是rsa登录）

二、提权

直接利用rsa成功登录，获得了user_flag信息....

在www/html页面发现隐藏页面信息....很多内容....

直接访问发现存在问题，页面无法读取...应该是域名问题...

直接将aragog aragog.htb添加到hosts即可...

cliff告诉我们两件事，他经常登录该页面，并且该站点也正在恢复....仔细检查

我通过访问admin.php直接进入了登录页面，但是页面url跳转到了wp-login.php文件下...

利用pspy32监听了靶机内所有进程情况，等待了5~7分钟，发现了一个规律，wp-login.php为UID = 1001在调用，然后每一分钟准时调用一次....

https://stackoverflow.com/questions/3718307/php-script-to-log-the-raw-data-of-post

如何利用wp-login.php获取admin-php页面的登录密码？在google看到了这篇调用文章....

直接删除掉该文件，重新创建个，将文章方法添加入测试....

等待一分钟后，成功获得了administrator密码....

由于前面知道这是UI=1001在调用的，以为该密码是cliff用户的登录密码...但是无权登录...

尝试su_root直接成功登录获得了root权限用户外壳....

成功获得了root_flag信息....

由于我们已经成功得到root权限查看user和root.txt，因此完成这台中级的靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。