OSCP系列靶机—BTRsys-2.1

一、主机发现

image-20240714120227641

二、端口扫描

1、快速扫描

image-20240714120516228

2、全端口扫描

image-20240714121450552

3、服务系统探测

image-20240714121612617

4、漏洞探测

image-20240714122713884

80端口扫到了一些目录,有wordpress框架和robots.txt 文件,以及易受DOS攻击

三、ftp信息收集

image-20240714123426992

输入binary进入二进制模式

image-20240714123541542

啥也没有,肯定没这么容易;尝试文件上传

image-20240714123756178

也失败了,暂时收集到这里

四、HTTP信息收集

1、首页

image-20240714123918510

image-20240714123931298

2、目录扫描

image-20240714124456779

3、wordpress信息收集

image-20240714124600748

4、wpscan 扫描用户名

1
wpscan --url http://192.168.31.69/wordpress/ --enumerate u

image-20240714124943626

btriskadmin两个用户;cewl 收集密码信息

1
cewl http://192.168.31.69/wordpress/ -w pass.txt

5、对收集的用户名进行爆破

1
wpscan --url "http://192.168.31.69/wordpress/" -P "pass.txt" --usernames user.txt

image-20240714125458846

没有发现密码,使用其他的字典进行爆破

image-20240714125935168

找到admin 的密码admin

image-20240714130018947

登陆成功

五、Getshell

在后台对wordpress 的主题进行编辑

image-20240714132617563

image-20240714132623180

改成php反弹shell代码进行监听

image-20240714132800786

获取shell

六、权限提升

1、提权到btrisk

1、信息收集

查看历史命令的时候发现了数据库root 的密码

image-20240714134159018

2、数据库查看

image-20240714134324611

wordpress数据库进行查看

image-20240714134534395

这个btrisk跟靶机中普通用户的名字一样,密码进行md5解密

image-20240714134656488

ssh连接,提权到btrisk

image-20240714134810020

2、提权到root

sudo滥用提权

image-20240714135143513