目录

一、存活主机发现

二、端口扫描

三、服务版本发现

四、信息收集

五、目录爆破

1.默认字典爆破

2.seclist字典爆破

六、信息收集

1.查看

2.尝试绑定访问

 七、HTTP3的配置

八、信息收集

 九、ssrf漏洞

1.伪协议file

2.读取备份文件

3.gopher攻击mysql

十、登录snape账号

十一、su_cp

十二、写入公钥和scp传输

 1.生成公私钥

2.上传公钥

3.更名，改权限

4.拷贝到hermoine的.ssh

十三、登录hermoine

 十四、提权

一、存活主机发现

二、端口扫描

三、服务版本发现

依旧是80和22端口

四、信息收集

主页面是一张图片，ctrl+u查看源码是啥都没有

五、目录爆破

1.默认字典爆破

得到是joomla这个cms登录界面

和joomla的后台登录界面

但是这些信息不足以帮助我们突破边界，换字典扫描看结果

2.seclist字典爆破

爆破出来一个note.txt

六、信息收集

1.查看

出现一个提示信息，要用http3来访问这个域名。

2.尝试绑定访问

sudo vim /etc/hosts

发现与我们之前ip访问一样

 七、HTTP3的配置

1.下载quiche

git clone --recursive https://www.github.com/cloudflare/quiche

2.安装cargo组件

sudo apt install cargo

3.cmake组件

sudo apt install cmake

4.安装例子

有报错，执行下一步

cd ./quiche

cargo build --examples

5.卸载rustc

apt purge rustc

6.重新安装

curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

7.设置环境变量

source $HOME/.cargo/env

8.重新下载

cargo build --examples

9.对安装内容检查

cargo test

爆出一堆ok检查无误

10.利用http3去访问url

有个目录，提到了备份文件，尝试去访问

八、信息收集

 1.通过第一条信息，我们访问了这个目录，有一个内部网络资源获取界面，存在ssrf漏洞。

2.存在配置备份文件

访问配置文件存在目录，可以下载到备份文件

   http://192.168.0.100/joomla/configuration.php.bak

3.备份文件

收集到登录数据库的用户名密码库名等

 九、ssrf漏洞

1.伪协议file

探测到了passwd文件，里面有几个有用的信息，可以通过/bin/bash登录的用户，和mysql这个账户。证明有mysql数据库，通过ssrf漏洞配合gopher伪协议可以攻击内网应用。

2.读取备份文件

利用ssrf配合伪协议，也可以读取备份文件

3.gopher攻击mysql

（1）下载工具

git clone https://www.github.com/tarunkant/Gopherus.git

（2）使用

一定在ssrf界面多提交两次，有时候不会返回结果

直接生成了一个payload，去查看表

再生成一个payload去查看字段

 经过分析可以得到账号和密码

[email protected]

<$2y$10$cmQ.akn2au104AhR4.YJBOC5W13gyV21D/bkoTmbWWqFWjzEW7vay

密码复杂 无法破解

（4）改写site_admin密码

echo "123" | md5sum

e7df7cd2ca07f4f1ab415d457a6e1c13

（5）写入数据库

use joomla;update joomla_users set password="e7df7cd2ca07f4f1ab415d457a6e1c13" where username="site_admin";

 （6）登录后台

site_admin/123

（7）写入反弹shell文件

利用kali自带的php反弹shell

反弹shell文件路径：/usr/share/webshells/php

模板路径：/joomla/templates/protostar/error.php

写入模板中

（8）访问后成功反弹shell

十、登录snape账号

通过上面的shell我们可以从creds.txt中得到一个bash64密码

解密：

echo " " | base64 -d

哈利波特中snape教授喜欢lilly，所以猜测这就是snape的密码

[email protected]

1.flag1.txt

SlythEriN's LocKEet dEstroYeD bY RoN

十一、su_cp

这里有一个su_cp，有suid权限，功能就是拷贝。

十二、写入公钥和scp传输

 1.生成公私钥

ssh-keygen

2.上传公钥

scp id_rsa.pub [email protected]~/

3.更名，改权限

mv id_rsa.pub authorized_keys

chmod 640 authorized_keys

4.拷贝到hermoine的.ssh

./su_cp -p ~/id_rsa.pub ../.ssh

十三、登录hermoine

拿到第二个flag.txt,解密一下

Helga Hufflepuff's Cup destroyed by Hermione  

 十四、提权

1.发现

 在家目录下，发现了一个隐藏文件夹 .mozilla(浏览器)，里面有个firefox（火狐），firefox一般来说只能在客户端上，但是这里出现在了服务端上。可以用作提权/

 2.下载读取火狐信息的工具

git clone https://github.com/unode/firefox_decrypt.git

3.firefox拷贝到本地

scp -r  [email protected]:~/.mozilla/firefox ./

4.firefox_decrypt

5.直接ssh登录

 解密后：

 Diadem of Ravenclaw destroyed by [email protected]