HackademicRTB1

靶机搭建

下载链接

https://download.vulnhub.com/hackademic/Hackademic.RTB1.zip

如果扫不到ip可以试着按照下面的步骤做：

• 用vmware打开靶机
• 选择已移动主机
• 更改网络适配器为nat模式
• 重启就可以扫到ip了

信息搜集

主机发现

扫描C段，发现了131这台主机

端口扫描

快速TCP扫描

开放了22,80两个端口

常见端口的UDP扫描

详细TCP扫描

漏洞脚本扫描

没什么有用的

漏洞探测

Web探测

发现cat参数，尝试一下SQL注入

报错了，说明有戏（从报错信息来看网站应该是wordpress搭建的）

偷个懒，直接用sqlmap了

sudo sqlmap -u "http://10.10.10.131/Hackademic_RTB1/?cat=1" --dbs --dump --batch

跑出来一大堆东西，还是一步一步来吧

查数据库

sudo sqlmap -u "http://10.10.10.131/Hackademic_RTB1/?cat=1" --dbs

查表

sudo sqlmap -u "http://10.10.10.131/Hackademic_RTB1/?cat=1" -D wordpress --tables

我觉得users最可疑，可能存了用户密码的哈希

导出wp_users表中的所有内容，sqlmap还会自动爆破哈希

sudo sqlmap -u "http://10.10.10.131/Hackademic_RTB1/?cat=1" -D wordpress -T wp_users --dump

最后拿到了这几个用户

获得立足点

尝试登录，wordpress登录路由一般是/wp-admin/

用NickJames这个账号登录（看这密码像是管理员）

成功登录

可以看到wrodpress的版本是1.5.1.1

点击修改稿件，显示没权限，看来NickJames不是管理员

多尝试几个账号后发现GeorgeMiller是管理员

后台有文件上传的选项，后缀加上php

出现了upload的页面

这里直接上传kali自带的php-reverse-shell，别忘了改ip，kali监听后访问/Hackademic_RTB1/wp-content/phpreverseshell.php

成功反弹shell

提权

内核版本较低，可以尝试内核提权

这里就得多试，我试了至少四五个都失败了，15285.c是可以成功提权的

提权成功