Linux/Blunder

Enumeration

nmap

扫描21,80端口,详细信息如下

80端口运行着 Apache,页面如下

在页面最下方可以看到 powered by egotisticalsw,在互联网搜索没发现什么与 渗透测试相关的东西

使用dirsearch对服务进行目录扫描,看看站点还有没有其他目录

在 todo.txt 中发现了一个待做列表,可以看到已经把 ftp 关了,旧用户也删了,待做是通知 fergus 新的 blog 需要图片,猜测 fergus 可能是一个用户名

robots.txt 没有显示什么有趣的东西,查看 admin 页面时,是 BLUDIT 网站的登录页面,通过搜索得知 bludit 是一个创建网站或博客的 cms

刚刚得到了一个用户名 fergus,难道是暴力破解?还是先看看其他的再说

网页源代码中出现了大量3.9.2,指示cms的版本信息

Exploitation

Bludit 3.9.2 - Auth Bruteforce Bypass

在网上搜索发现,该版本存在暴力破解绕过漏洞,确实是暴力破解,但是有绕过肯定是系统做了某种限制,所以要绕过这种限制才能执行暴力破解

可以看到使用方法,需要指定登录url,用户名字典和密码字典

Example Usage:

- ./exploit.py -l http://127.0.0.1/admin/login.php -u user.txt -p pass.txt

用户名和有可能就是 todo.txt 中提示的 fergus,密码的话可以使用 cewl 从网站中提取创建一个自定义列表

cewl http://10.10.10.191/ > pass.txt

然后执行漏洞利用脚本,对网站进行暴力破解,程序设置每尝试一次打印一 行,很清晰

一旦找到结果,就会停止,并且打印出来

然后登录系统

刚刚还发现了一个上传的文章,展示了在此版本中如何上传文件获取 shell,因为刚才已经登陆,在 new content 处上传 webshell

修改文件名后缀为 php,修改 uuid 值为 ../../tmp,上传后,服务器会响应仅支持......格式,但是实际已经上传成功了

再上传 .htaccess 文件

这时在kali中开启监听,然后访问 http://10.10.10.191/bl-content/tmp/php-reverse-shell.php,即可拿到 shell

然后获取一个交互式shell,并将其升级

Lateral Movement

Hugo

可以看到系统 home 中有 hugo 和 shaun 两个用户目录,但是并没有权限做什么事情

在/var/www下也有一些有趣的文件,看到一个 bludit-3.9 版本,一个 3.10 版本,猜测可能是想要替换的新版本

在 /bl-content/databases/users.php 中发现了用户 Hugo 的密码 hash

使用在线工具对其进行解密,得到了 Hugo 的密码 Password120

使用该密码切换至 Hugo 用户

Privilege Escalation

CVE-2019-14287

使用 LinPEAS 检查系统,现将脚本下载到 tmp 目录,然后给它添加执行权限,在执行脚本

脚本显示sudo的版本可能有问题

搜索sudo对应版本,发现存在本地提权漏洞

查看 sudo -l,按照上文所示输入指令,回车后即可得到root权限

相关推荐

最近更新

  1. TCP协议是安全的吗?

    2024-01-20 06:40:05       19 阅读
  2. 阿里云服务器执行yum,一直下载docker-ce-stable失败

    2024-01-20 06:40:05       19 阅读
  3. 【Python教程】压缩PDF文件大小

    2024-01-20 06:40:05       19 阅读
  4. 通过文章id递归查询所有评论(xml)

    2024-01-20 06:40:05       20 阅读

热门阅读

  1. Vue2:用ref方式绑定自定义事件的注意事项

    2024-01-20 06:40:05       39 阅读
  2. python通过函数和常规类编写元类

    2024-01-20 06:40:05       24 阅读
  3. 前端vue2生成二维码并可保存

    2024-01-20 06:40:05       34 阅读
  4. docker 的 Dockerfile 简单使用

    2024-01-20 06:40:05       37 阅读
  5. 学习搭建Vue组件库

    2024-01-20 06:40:05       35 阅读
  6. GitHub 上如何提出 issue?

    2024-01-20 06:40:05       29 阅读
  7. 爬虫系列实战:使用json解析天气数据

    2024-01-20 06:40:05       30 阅读
  8. Note of CLEAN CODE chapter 2 - Meaningful Name

    2024-01-20 06:40:05       25 阅读
  9. uniapp echarts x轴 支持html标签

    2024-01-20 06:40:05       29 阅读