HTB-Blunder-Writeup

  • A+
所属分类:安全文章

文章源自-投稿

作者-南宫十六

扫描下方二维码进入社区

HTB-Blunder-Writeup

0x01 靶机简介

HTB-Blunder-Writeup

0x02 信息收集

访问http://10.10.10.191浏览了一遍,没有发现什么可以利用的点。

接着直接用nmap进行常规端口扫描。

HTB-Blunder-Writeup

HTB-Blunder-Writeup

使用dirsearch进行目录扫描

HTB-Blunder-Writeup

HTB-Blunder-Writeup

访问/admin目录需要用户密码登录,简单尝试fuzz无果,收获是发现这个cms是Bludit Cms。

使用wfuzz工具对该网站进行敏感文件扫描,字典是seclists/Discovery/Web-Content/commom.txt

HTB-Blunder-Writeup

HTB-Blunder-Writeup

最终扫到robots.txt,todo.txt两文件,robots.txt就放弃了,查看一下todo.txt

HTB-Blunder-Writeup

HTB-Blunder-Writeup

猜测fergus为网站管理员名称,用cewl工具对该网站生成对应的密码字典。

HTB-Blunder-Writeup

HTB-Blunder-Writeup

爆破Bludit后台账号密码的脚本参考:

https://rastating.github.io/bludit-brute-force-mitigation-bypass/

https://fdlucifer.github.io/2020-06-05-blunder.html

HTB-Blunder-Writeup

HTB-Blunder-Writeup

HTB-Blunder-Writeup

爆破结果:

HTB-Blunder-Writeup

HTB-Blunder-Writeup

后台地址:http://10.10.10.191/admin/

HTB-Blunder-Writeup

HTB-Blunder-Writeup

HTB-Blunder-Writeup

0x03 Getshell

CVE-2019-16113

https://vulmon.com/vulnerabilitydetails?qid=CVE-2019-16113

某个老哥的博客发现Blunder后台Getshell的方法以及分析。

https://christa.top/details/46/

HTB-Blunder-Writeup

后台Getshell分析:

测试发现上传的php文件被保存到tmp文件夹下,但是因为.htaccess的限制,无法达到其文件夹

HTB-Blunder-Writeup


HTB-Blunder-Writeup

猜测可以通过上传.htaccess文件对该配置文件进行覆盖,因此来查看文件源码,一路跟进,在upload-image.php文件下面发现蛛丝马迹

HTB-Blunder-Writeup

HTB-Blunder-Writeup

跟进一下Filesystem这个类

HTB-Blunder-Writeup

HTB-Blunder-Writeup

发现这是一个文件移动的方法,即直接将文件移动到tmp目录底下去,因此,可以直接上传.htaccess文件和webshell。

HTB-Blunder-Writeup

利用方法:

1.上传.htaccess文件覆盖tmp目录下的配置文件

HTB-Blunder-Writeup

HTB-Blunder-Writeup

2.上传webshell

HTB-Blunder-Writeup

HTB-Blunder-Writeup

HTB-Blunder-Writeup

nc本地监听9999端口,然后利用python反弹shell

HTB-Blunder-Writeup

HTB-Blunder-Writeup

测试发现以上方法不好用,直接换成了metasploit

HTB-Blunder-Writeup

HTB-Blunder-Writeup

HTB-Blunder-Writeup

拿到shell之后用python生成交互shell

HTB-Blunder-Writeup

HTB-Blunder-Writeup

HTB-Blunder-Writeup

0x04 普通用户权限

寻找了一番利用方法,在/var/www目录下发现两个版本的Blunder

HTB-Blunder-Writeup

HTB-Blunder-Writeup

HTB-Blunder-Writeup

bludit-3.10.0a版本users.php文件泄露了Hugo用户的md5

HTB-Blunder-Writeup

HTB-Blunder-Writeup

将md5值faca404fd5c0a31cf1897b823c695c85cffeb98d解密后得到明文Password120

HTB-Blunder-Writeup

HTB-Blunder-Writeup

然后切换到hugo用户,在用户目录拿到第一个key

HTB-Blunder-Writeup

HTB-Blunder-Writeup

0x05 ROOT权限提升

HTB-Blunder-Writeup

按照(ALL, !root) /bin/bash去google搜索了一下,发现了sudo 1.8.27 Security Bypass漏洞

https://www.exploit-db.com/exploits/47502

HTB-Blunder-Writeup

利用方式:

HTB-Blunder-Writeup

一条命令搞定,root目录下拿到第二个key。

HTB-Blunder-Writeup

HTB-Blunder-Writeup

HTB-Blunder-Writeup

通知!

公众号招募文章投稿小伙伴啦!只要你有技术有想法要分享给更多的朋友,就可以参与到我们的投稿计划当中哦~感兴趣的朋友公众号首页菜单栏点击【商务合作-我要投稿】即可。期待大家的参与~

HTB-Blunder-Writeup

记得扫码

关注我们

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: