HTB-Blunder-Writeup

访问http://10.10.10.191浏览了一遍，没有发现什么可以利用的点。

接着直接用nmap进行常规端口扫描。

使用dirsearch进行目录扫描

访问/admin目录需要用户密码登录，简单尝试fuzz无果，收获是发现这个cms是Bludit Cms。

使用wfuzz工具对该网站进行敏感文件扫描，字典是seclists/Discovery/Web-Content/commom.txt

最终扫到robots.txt,todo.txt两文件，robots.txt就放弃了，查看一下todo.txt

猜测fergus为网站管理员名称，用cewl工具对该网站生成对应的密码字典。

爆破Bludit后台账号密码的脚本参考：

https://rastating.github.io/bludit-brute-force-mitigation-bypass/

https://fdlucifer.github.io/2020-06-05-blunder.html

爆破结果：

后台地址：http://10.10.10.191/admin/

https://vulmon.com/vulnerabilitydetails?qid=CVE-2019-16113

某个老哥的博客发现Blunder后台Getshell的方法以及分析。

https://christa.top/details/46/

测试发现上传的php文件被保存到tmp文件夹下，但是因为.htaccess的限制，无法达到其文件夹

猜测可以通过上传.htaccess文件对该配置文件进行覆盖，因此来查看文件源码，一路跟进，在upload-image.php文件下面发现蛛丝马迹

跟进一下Filesystem这个类

发现这是一个文件移动的方法，即直接将文件移动到tmp目录底下去，因此，可以直接上传.htaccess文件和webshell。

1.上传.htaccess文件覆盖tmp目录下的配置文件

2.上传webshell

nc本地监听9999端口，然后利用python反弹shell

测试发现以上方法不好用，直接换成了metasploit

拿到shell之后用python生成交互shell

寻找了一番利用方法，在/var/www目录下发现两个版本的Blunder

bludit-3.10.0a版本users.php文件泄露了Hugo用户的md5

将md5值faca404fd5c0a31cf1897b823c695c85cffeb98d解密后得到明文Password120

然后切换到hugo用户，在用户目录拿到第一个key

按照(ALL, !root) /bin/bash去google搜索了一下，发现了sudo 1.8.27 Security Bypass漏洞

https://www.exploit-db.com/exploits/47502

一条命令搞定，root目录下拿到第二个key。