点击上方蓝字关注我们

0x00:靶机介绍

这次的靶机是Blunder,总结来说就是查找CVE漏洞，MSF一键getshell。以及最后的简单提权。难度也比较符合Easy级别。

0x01:信息收集

还是python autorecon.py 收集端口信息和跑目录信息，21端口关了。。。。。只剩了唯一有用的80端口。

Gobuster这次还算比较给力，扫到挺多正常目录信息的可以跟过去看看。

0x02:80端口信息挖掘

先输入IP到浏览器可以正常访问头顶有个大大的Blunder,下面有个powered by xxx有可能是个CMS

当然顺便去唯二的txt看看，有两个重点信息，第一确定是个CMS，第二提醒fergus这个用户。

再去看看后台收集波信息，按住F12发现CSS里面居然直接提示了版本信息为3.9.2 真后台开发啥都可能会写进去。

0x03:查找相关脚本利用

由于有了相关版本信息可以直接searchsploit起手有4个相关payload，优先考虑py

这里直接用searchsploit -m拷贝到本地，查看一波使用方法主要还是爆破后台

爆破的话只能通过前面的todo.txt可以确定其中一个用户名是fergus,然后密码本只能用cewl -w 爬虫波80端口信息并保存下来

爆破启动!

最后得到一个账户密码

0x04:MSF一键GETSHELL

再启动MSF的时候发现一个文件上传漏洞，只需要配置好账号密码 RHOST即可

改装一波把刚才得到的信息填上去然后run一键getshell成功

0x05:挖掘CMS信息

这波原本以为getshell成功以后可以直接读到user的flag结果大E了。只能挖掘波CMS的信息当然靶机作者也是挖了个大坑。居然装着两个同样的CMS只不过不同版本。Bludit-3.9.2里面的数据库账号密码死活爆破不出来原来是个坑。

这次进到bludit-3.10.0a里面有个user.php打开一看有个账户密码

终于看到能解出来的了。。。。。。。

然后直接su就可。

0x06:提权

这次提权是用一个比较旧的提权漏洞。先sudo -l看到一个比较奇怪的设定

在必应复制粘贴找到一个sudo 的提权方法

最后也是复制粘贴直接变成root

原文始发于微信公众号（神隐攻防实验室）：Hack The Box:Blunder(CMS漏洞爆破+MSF一键获取权限)