文章源自-投稿
作者-南宫十六
扫描下方二维码进入社区:
0x01 靶机简介
0x02 信息收集
访问http://10.10.10.191浏览了一遍,没有发现什么可以利用的点。
接着直接用nmap进行常规端口扫描。
使用dirsearch进行目录扫描
访问/admin目录需要用户密码登录,简单尝试fuzz无果,收获是发现这个cms是Bludit Cms。
使用wfuzz工具对该网站进行敏感文件扫描,字典是seclists/Discovery/Web-Content/commom.txt
最终扫到robots.txt,todo.txt两文件,robots.txt就放弃了,查看一下todo.txt
猜测fergus为网站管理员名称,用cewl工具对该网站生成对应的密码字典。
爆破Bludit后台账号密码的脚本参考:
https://rastating.github.io/bludit-brute-force-mitigation-bypass/
https://fdlucifer.github.io/2020-06-05-blunder.html
爆破结果:
后台地址:http://10.10.10.191/admin/
0x03 Getshell
CVE-2019-16113
https://vulmon.com/vulnerabilitydetails?qid=CVE-2019-16113
某个老哥的博客发现Blunder后台Getshell的方法以及分析。
https://christa.top/details/46/
后台Getshell分析:
测试发现上传的php文件被保存到tmp文件夹下,但是因为.htaccess的限制,无法达到其文件夹
猜测可以通过上传.htaccess文件对该配置文件进行覆盖,因此来查看文件源码,一路跟进,在upload-image.php文件下面发现蛛丝马迹
跟进一下Filesystem这个类
发现这是一个文件移动的方法,即直接将文件移动到tmp目录底下去,因此,可以直接上传.htaccess文件和webshell。
利用方法:
1.上传.htaccess文件覆盖tmp目录下的配置文件
2.上传webshell
nc本地监听9999端口,然后利用python反弹shell
测试发现以上方法不好用,直接换成了metasploit
拿到shell之后用python生成交互shell
0x04 普通用户权限
寻找了一番利用方法,在/var/www目录下发现两个版本的Blunder
bludit-3.10.0a版本users.php文件泄露了Hugo用户的md5
将md5值faca404fd5c0a31cf1897b823c695c85cffeb98d解密后得到明文Password120
然后切换到hugo用户,在用户目录拿到第一个key
0x05 ROOT权限提升
按照(ALL, !root) /bin/bash去google搜索了一下,发现了sudo 1.8.27 Security Bypass漏洞
https://www.exploit-db.com/exploits/47502
利用方式:
一条命令搞定,root目录下拿到第二个key。
通知!
公众号招募文章投稿小伙伴啦!只要你有技术有想法要分享给更多的朋友,就可以参与到我们的投稿计划当中哦~感兴趣的朋友公众号首页菜单栏点击【商务合作-我要投稿】即可。期待大家的参与~
记得扫码
关注我们
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论