BTRsys-2靶机渗透实战
靶机IP:192.168.8.134
信息收集
nmap全端口扫
nmap -sS -Pn -A -p- -n 192.168.8.134
image.png
共有三个服务:
21/tcp open ftp vsftpd 3.0.3
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.1
80/tcp open http Apache httpd 2.4.18
web信息收集
image.png
又是wordpress,靶机制作者有点偷懒啊,都用wordpress建站
反弹shell
http://192.168.8.134/wordpress/?author=1 爆出用户“btrisk”
http://192.168.8.134/wordpress/?author=2 爆出用户 "admin"
直接尝试 admin/admin 登录后台,竟然进去了
wordpress拿站有经验了,直接到Appearance -> Editor 挂马反弹shell或者一句话菜刀连接即可
在404写上php反弹shell
image.png
kali上nc -lvp 4444等待反弹,
触发http://192.168.8.134/wordpress/wp-content/themes/twentyfourteen/404.php
image.png
提权
直接cd root没有权限,只能一通乱翻
奔着wp-config.php前去
cd wordpress
cat wp-config.php
image.png
账号密码:root / rootpassword!
直接登录mysql数据库
mysql -uroot -p
尝试直接用cmd命令行进入数据库mysql中,当前用户命令select没有权限
在shell中直接用命令操作数据库
查看数据库中的表信息:
mysql -uroot -p -D wordpress -e 'show tables;'
image.png
直接查看wp_users表中用户的数据信息:
mysql -uroot -p -D wordpress -e 'select * from wp_users;'
image.png
我们已知admin用户的密码是 admin
root用户的密码的hash是:
a318e4507e5a74604aafb45e4741edd3
拿去md5解一下得到: roottoor
image.png
直接尝试以root用户登录ssh:
ssh root@192.168.8.253
image.png
root 成功
总结
1、该靶机没有难度,主要熟练应用wordpress后台404挂马拿站
2、反弹shell没有权限,只能在shell中操作数据库
靶机百度云下载
链接:https://pan.baidu.com/s/1Ak1RgBFgMkxiHfhleEPFrg
提取码:keb9
网友评论