- 信息收集
使用nmap扫描,发现目标主机开启了22端口和80端口,22端口的ssh已经关闭
直接访问80端口
2.sql注入
经过点击测试发现两个可能存在sql注入漏洞的url
http://192.168.21.65/Hackademic_RTB1/?p=9
http://192.168.21.65/Hackademic_RTB1/?cat=1
通过sqlmap测试,p这个参数是静态的,不可写,
但是cat这个参数是可写的
成功获取到数据库,继续利用sqlmap进行sql注入
成功获取到表名,继续获取列
查找到出列,首先查看user_pass里面的数据
查找到了六条密码,第六条密码sqlmap并没有解密出来,通过其他办法解密
再尝试获取获取用户名
获取到了同样的六条用户名
知道了用户名和密码,尝试目录扫描扫出管理员后台目录
发现了wp-admin目录,访问一下,发现是管理员后台
使用获取到的用户名密码进行登录,通过登录尝试发现只有GeorgeMiller有权限进行后台管理,所以登陆这个账号
找到了文件上传的路径和文件上传点,勾选允许上传文件,出现了文件上传的页面,修改允许上传的文件大小和允许上传的文件格式
上传webshell
使用godzilla成功连接webshell
进行端口反弹,kali攻击机开启监听
成功反弹shell
查看权限,发现是网站权限
尝试进行sudo提权,发现不能执行命令
查看内核版本,尝试内核提权
知道了内核版本,在kali攻击机上寻找可以利用的提权脚本
经过大量测试发现Linux Kernel 2.6.36-rc8 - 'RDS Protocol' L | linux/local/15285.c这条提权脚本可以成功提权
将脚本放在当前目录下,让受害机下载执行
受害机使用wget命令下载脚本
使用gcc命令编译并保存在Theresa文件中
赋予Theresa文件执行权限并使用./命令执行
查看当前权限发现提权成功
使用find命令查找key.txt文件的位置
成功读取到目标文件