本文详细介绍了通过主机发现和端口扫描找到靶机,利用Web渗透技术,尤其是手工SQL注入,攻破WordPress1.5.1.1CMS,获取用户信息,并上传shell进行提权,最终达到内核提权拿到root权限的过程。关键步骤包括SQL注入获取数据库信息,WordPressCMS的漏洞利用,以及内核版本2.6.31的提权方法。
目录
写在开头
本篇博客根据大佬红队笔记的视频进行打靶,详述了打靶的每一步思路,并非复现writeup,读者耐心看完,定会有所收获。本文的打靶过程涉及到关于SQL手工注入的思路(联合查询)、wordpress cms文件上传、内核漏洞提权、MySQL UDF提权的失败情况等。完整打靶思路详见:「红队笔记」靶机精讲:HackademicRTB1 - 试炼手工SQLi_哔哩哔哩_bilibili
本文针对的靶机源于vulnhub,详情见:
靶机下载链接见:
https://download.vulnhub.com/hackademic/Hackademic.RTB1.zip
下载成功后用vmware打开,跳出提示框请选择“我已移动该虚拟机”,然后设置为NAT模式,否则无法扫描到靶机!
靶机启动后的界面如下:
第一步:主机发现和端口扫描
常规思路,不细讲了。。有关主机发现和端口扫描的命令详见我的这篇博客中关于nmap的部分:
渗透测试:主机发现和端口扫描的思路方法总结(nmap+ping命令+nc.traditional+伪设备连接)
nmap -sn 10.10.10.0/24
nmap --min-rate 10000 -p- 10.10.10.132
nmap -sT -sV -O -p22,80 10.10.10.132
nmap -sU --min-rate 10000 -p- 10.10.10.132
nmap --script=vuln -p22,80 10.10.10.132扫出来靶机的ip是10.10.10.132,开放端口只有80,22端口是closed状态。
80端口运行的是Apache的服务,操作系统Linux内核版本是2.6。
UDP扫描无结果,漏洞脚本扫描也没太多有利用价值的东西。
第二步:Web渗透
浏览器访问靶机ip,如下:
没太多信息,就告诉我们欢迎进入第一个黑客学院的挑战(获取root权限)。界面中说,请进入你的target并努力获取root权限。target是一个链接,我们点击跳转。
跳转之后由url可知我们进入了Hackademic_RTB1目录,这个界面告诉我们目标(Goal)就是读取root目录下的Key.txt文件。同时还有三个可以跳转的链接no comments 和Uncategorized。首先这个界面明显是个cms,我们可以查看网页源代码看看有没有cms的信息:
非常nice,我们直接看到这个cms是WordPress的1.5.1.1版本。然后可以searchsploit一下有啥漏洞:
searchsploit wordpress 1.5.1.1 
漏洞果然一大堆,我们重点观察版本匹配的开头两个,说存在SQL注入,因此我们在接下来的渗透重点关注SQL注入。
点击超链接no comments,可以进入下面的界面:
主要观察url中有个参数p,我们要测
最低0.47元/天 解锁文章
扫一扫
3612
到【灌水乐园】发言
