信息收集
靶机启动
IP扫描
端口扫描
22 没有开放 80 开放
目录扫描
SQL注入
确认注入点
手动访问80端口
欢迎进入黑客学院的挑战 请进入 targer 努力获取 toot 权限
跳转后可以看到进入了hackademic_rtb1目录, 这里说目标 goal 要读取root/key.txt文件
看源代码
看到cms 是wordpress的1.5.1.1 版本 找下漏洞
确认这个版本有sql注入漏洞
在Hackademic_RTB1链接 有参数cat 尝试sql注入
判断注入类型 数字型
使用 sqlmap
爆数据库名
爆表名
爆列名
爆用户名
GeorgeMiller
Jasonkonnors
JohnSmith
MaxBucky
NickJames
TonyBlack
爆密码
admin
kernel
qlw2e3
maxwell
napoleon
访问 wp-admmin
http://10.4.7.152/Hackademic_RTB1/wp-login.php
redirect_to=%2FHackdemic_RTB1%2Fwp-admin%2F
bp暴力破解 使用户和密码对应
提权
用户登录 最高权限
GeorgeMiller q1w2e3
找到Options 开启文件上传,旁边会多一个Upload
kali 的ip 监听端口
上传shell
上传成功
访问shell
kaili 监听
发现权限不够 尝试内核提权
查看版本 2.6.3
开启wed 服务
回到shell 下载
获取 root/key.txt
