vulnhub靶机hackademic1

最新推荐文章于 2024-08-14 20:27:32 发布
最新推荐文章于 2024-08-14 20:27:32 发布
阅读量115 收藏 2
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53665747/article/details/131224577
版权

端口扫描

 靶机只开了80端口,且操作系统是fedora

nmap漏洞扫描没有什么结果

 

sql注入

浏览每个点的时候注意url的变换,其中在uncategorized这个地方可以看到cat=1存在一个传参,那么这里可能点就有很多了,第一反应应该是sql注入去尝试,当然不止这个点有参数交互,但是经过尝试以后这个点是唯一一个可以利用的地方。

后续这里我经过手工 and 1=1 and 1=2 测试过以后判断是一个数字型注入,后面就丢到sqlmap里面去跑了,在跑的过程中发现了wordpress字眼并且得到了一组账号密码。

 

有了这组账号密码就可以尝试去登录后台了。

目录爆破

这里 我犯了一个错误,注意到我们直接输入ip进入web以后是自动加了一个目录的,而我刚开始用目录爆破只是加了一个ip导致没扫到后台,浪费了点时间

 

 很常见的wordpress目录

wordpress渗透

 这里因为是做wp,所以尝试部分就不一一再去详细说了,这里注意登录以后如果没有跳转那么自己再去访问一下index.php(和登录在同一目录下)就好了,然后这里因为这个账号的密码是admin,以为权限很大,但是进入后台以后才发现这个用户权限不多,这里只能一个一个去尝试,这里最后可以用乔治米勒那个账号就好。

 后台一般渗透思路就是找上传点和代码执行点,这里没什么特别的技巧对于不熟悉的系统只能一个一个去看或者在网上找漏洞。对于wordpress来说,上传和编辑点多出现在plugins这里,更高版本的还有主题这两个地方。

 

这里也是可以直接编辑php代码,那么直接写入反弹shell就好了。不过这里我刚开始验证时想写入phpinfo()但是一直没成功,不知道为什么。

这里改写成功以后就是去访问然后触发了,而怎么触发需要我们找到这个文件的目录,对于wordpress不熟悉时候可以使用目录爆破去做,而熟悉以后按照经验可以想到wp-content/plugins/hello.php这里。 

 这里可以用feroxbuster去跑,也可以用dirbuster这类跑二级甚至更深目录的工具,总能跑出来的。不过为了快速执行我们的代码并且实战中再跑一次容易被发现,还是记住wordpress常见目录

插件和主题的一些目录

https://target.com/wp-content/plugins/PLUGINNAME/readme.txt
https://target.com/wp-content/plugins/PLUGINNAME/readme.TXT
https://target.com/wp-content/plugins/PLUGINNAME/README.txt
https://target.com/wp-content/plugins/PLUGINNAME/README.TXT
https://target.com/wp-content/themes/THEMENAME/style.css 
https://target.com/wp-content/themes/THEMENAME/readme.txt 

这里对于wordpress的更全面扫描还是建议使用wpscan这个软件,去官网免费注册一个api就可以得到很多信息了,同样也可以帮我们找到修改或上传的文件。

内网 

进入时候记得用python获取一个交换更好的窗口

这里在常规的查看密码,home,suid等一系列尝试以后发现并没有我能发现提权的地方,那么只能尝试内核提权。

对于内核提权在最初学习的时候我很喜欢,因为觉得只有不是受限严重的shell都可以完成root,但是随着后面靶机练习多了,感觉内核提权并不简单,需要的经验也很多,怎么筛选,怎么调试都是技术活。

这里看红队笔记做的时候是这么解释的,对于linux版本我们不需要指定的特别详细例如2.1.28 我们指定2.1.2即可,然后对于得到的结果做一些提权方面的筛选。对于具体发行版本目前看还是不要作为筛选条件了,因为这样虽然针对性更强但容易筛掉一些大范围的不限发行版本的漏洞。

对于筛选后的结果,我们尽量选取条件不是那么严苛的,比如必须大于或在某两个版本之间的这样的信息。我们尽量选取小于某一版本这种筛选信息的即可。

 

除了人工外,我们也可以使用linpeas做一些提权信息枚举,对于内核他这里也是用了linux exploit。

通过人工和脚本配合,筛选出一些合适的去做尝试。

这里自己试了4个无果没心态了,去看wp,用的是这个 

下载下来编译执行即可。

这里对于内核提权不好的点就有一个,靶机做完以后再用这个去提权就不成功了,一次性提权

 

重启机器以后才可以,所以实战情况下用内核提权应该是要慎用的,搞不好就给机器搞出什么故障了。

总结 

靶机难度算初级,思路不难比较常规,从web入口sql注入得到口令密码然后进入后台编写页面反弹shell内核提权。流程相对比较简单。没什么特别多的坑点,唯一比较麻烦的可能就是对于提权exp的筛选。

Eminem_zzzz
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Vulnhub靶机系列:Hackademic: RTB1
汗的博客
03-30 2197
https://www.hackingarticles.in/hack-the-hackademic-rtb1-vm-boot-to-root/ 文章目录靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址 https://www.vulnhub.com/entry/hackademic-rtb1,17/ 靶机设置 利用知识及工具 信息收集并getshell 提权 总结 ...
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
Vulnhub靶机:HACKADEMIC_ RTB1
LainWith的博客
12-23 658
Hackademic(此系列共2台)发布日期:2011年9月6日难度:初级运行环境:VMware Workstation目标:取得 root 权限 + flag主机发现端口扫描+漏洞扫描Sql注入wordpress挂马内核提权。
vulnhub-----Hackademic靶机
woshicainiao666的博客
02-29 592
sql注入,内核提权
[VulnHub靶机渗透] Hackademic: RTB1
人若无名,便可专心练剑
05-06 1059
靶机精讲之Hackademic: RTB1,vulnhub靶机,手动SQL注入,小试牛刀,内核提权。读遍牙签三万轴,欲来小邑试牛刀。
Vulnhub靶机 Hackademic.RTB1(渗透测试详解)
最新发布
2301_78721909的博客
08-14 230
Vulnhub靶机 Hackademic.RTB1(渗透测试详解)
渗透测试靶机vulnhub-Hackademic.RTB1
m0_70830611的博客
11-23 409
发现GeorgeMiller用户有配置选项,开启文件上传,启用后可以看到右边多了个"upload"提示需要获取root权限和root目录下的key.txt,然后还发现有几个链接可以点击,点一下。下面两个链接都试一下手动注入,发现第二个存在sql漏洞。上传文件后,开启监听,访问webshell。然后回到原本监听着的webshell。发现有个wp-admin的子目录。选定一个然后开启apache服务。获取root下的key.txt。发现权限不够,想办法提权。修改为kali的ip。
【Sword系列】Vulnhub靶机HACKADEMIC: RTB1 writeup
xingjinhao123的博客
09-01 1070
【Sword系列】Vulnhub靶机HACKADEMIC: RTB1 writeup
Vulnhub靶机渗透测试 Five-1靶机
12-07
Vulnhub靶机渗透测试 Five-1靶机
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
Vulnhub靶机系列:De-ICE: S1.120
01-09
靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有简单指导Vulnhub靶机系列:pWnOS: 2.0另外iso文件如何导入就不赘述了,安装完最好重启一下。完成上述步骤后可以netdiscover一下确定。 利用...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
zabbix的setup无法进入第二步
houduanq的博客
08-11 463
chmod: 无法访问"/var/lib/php/session": 没有那个文件或目录。
文件上传-.user.ini利用
feiwujiushiwo的博客
08-13 180
php.ini是php的全局配置文件,对整个web服务起作用.user.ini和.htaccess都是目录的配置文件.user.ini是用户自定义的php.in理解为包含文件。
[FSCTF 2023]细狗2.0
2301_81462177的博客
08-09 317
cmd=ls${lFS}-1剁FSS9-后面加个$与{类似,起截断作用,$9是当前系统shel进程第九个参数持有者始终为空字符串。cmd=lsSlFS-l单纯$IFS2,IFS2被bash解释器当做变量名,输不出来结果,加一个{}就固定了变量名。ca\t/*123*/f* 发现不可以,看题解后发现使用${IFS}绕过。cmd=ls$lFs$9-1 (这里1到9应该都可以)ca\t$IFS/f* 可得flag。尝试输入cat /f*
PHP图书借阅微信小程序系统源码
2401_84414018的博客
08-12 201
图书借阅微信小程序”不仅是一个借阅工具,更是你探索知识、享受阅读的得力助手。在这个快节奏的时代,让我们一起慢下来,用阅读滋养心灵,开启一段段美妙的阅读旅程吧!快来加入我们,发现更多阅读的乐趣和惊喜!📚🌟。
【信创】Linux系统如何使用命令行或图形化工具禁用ipv6 _ 统信 _ 麒麟 _ 中科方德
鹏大圣运维
08-09 1069
Hello,大家好啊,今天给大家带来一篇关于在Linux系统中如何使用命令行或Grub Customizer工具禁用IPv6的文章。IPv6在某些环境下可能会引起网络问题或不必要的复杂性,因此禁用它可能会提高系统的稳定性和性能。本文将详细介绍两种禁用IPv6的方法。欢迎大家分享转发,点个关注和在看吧!
思科RIP动态路由配置3
2302_76730689的博客
08-14 491
路由信息协议(Routing Information Protocol,RIP)是应用较早、使用较普遍的动态路由协议,也是内部网关协议,由于RIP以跳数作为衡量路径的开销,且规定最大跳数为15,因此RIP在实际应用中是有一定限制的,通常适用于中小型的企业网络。Router-A(config-router)#network 网段!#9查看Switch-A、Router-A、Router-B的路由表。#3配置Router-A的名称及其接口IP地址。#7在Router-A上配置动态RIP。
vulnhub靶机系列:
09-09
1. Kioptrix:这是一个非常受欢迎的系列,包含了多个不同难度级别的靶机。从初级到高级的挑战,覆盖了各种网络安全知识。 2. Metasploitable:这个系列模拟了一个容易受到攻击的系统,用于学习Metasploit框架和漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值