BTRsys系列靶機滲透

BTRsys1

埠發現加目錄掃描。

發現目錄：http://192.168.114.161/login.php

嘗試弱密碼失敗，檢視原始碼。

  <script type="text/javascript">

function control(){
    var user = document.getElementById("user").value;
    var pwd = document.getElementById("pwd").value;

    var str=user.substring(user.lastIndexOf("@")+1,user.length);

    if((pwd == "'")){
        alert("Hack Denemesi !!!");

    }
    else if (str!="btrisk.com"){
        alert("Yanlis Kullanici Bilgisi Denemektesiniz");

    }   
    else{

      document.loginform.submit();
    }
}  
 

只要符合前兩個田間就能進行登入。

username：[email protected]
password:1

登陸之後沒有發現功能點，依然檢視頁面原始碼。

    <script type="text/javascript">
        // accept=".jpg,.png"
function getFile(){
    var filename = document.getElementById("dosya").value;
    var sonuc = ((/[.]/.exec(filename)) ? /[^.]+$/.exec(filename) : undefined);
    if((sonuc == "jpg") || (sonuc == "gif") || (sonuc == "png")){
        document.myform.submit();
    }else{
        //mesaj
        alert("Yanlizca JPG,PNG dosyalari yukleyebilirsiniz.");
        return false;


    }
}  
 

可能是登陸的方式有問題吧，登陸進去無法是有功能的使用者，我換成了萬能密碼進入之後就能看見檔案上傳點了。

正則表示式是這樣的：

var sonuc = ((/[.]/.exec(filename)) ? /[^.]+$/.exec(filename) : undefined);    

剛看是沒怎麼看懂，但是想了一下這個可能只是前端過濾，試了一下確實如此，有點蠢了。

一句話木馬，蟻劍連線，然後再傳一個反彈shell，msf監聽。

存在使用者troll。

檢視配置檔案，因為之前掃目錄的時候掃到了config檔案。

嘗試登入，root：tour失敗了。

檢視一下操作核心，好像有搞頭。

髒牛提權把系統搞崩了，hh，換一個。

searchsploit查詢一下當前作業系統漏洞，發現poc直接wget接收一下就可。

BTRsys2

掃埠目錄發現是wordpress建站。

存在兩個賬戶分別為admin以及btrisk。

弱密碼試一下，就admin:admin，成功了，挺驚訝的原本還想用外掛的漏洞進行攻擊的。

傳馬，反彈shell

這裡的python版本為python3.

python3 -c 'import pty;pty.spawn("/bin/bash")'

找到配置檔案，沒成功。

換一下看一下版本。

核心無法利用。

find命令找一下。

無法suid提權。

回過頭來看看資料庫能不能利用一下。
找了phpmyadmin以及wordpress兩個庫當中在後者發現root加密後的密碼

a318e4507e5a74604aafb45e4741edd3

嘗試去解密。

密碼roottoor

su一下就ok了。