Enumeration

nmap

扫描21,80端口，详细信息如下

80端口运行着 Apache，页面如下

在页面最下方可以看到 powered by egotisticalsw，在互联网搜索没发现什么与 渗透测试相关的东西

使用dirsearch对服务进行目录扫描，看看站点还有没有其他目录

在 todo.txt 中发现了一个待做列表，可以看到已经把 ftp 关了，旧用户也删了，待做是通知 fergus 新的 blog 需要图片，猜测 fergus 可能是一个用户名

robots.txt 没有显示什么有趣的东西，查看 admin 页面时，是 BLUDIT 网站的登录页面，通过搜索得知 bludit 是一个创建网站或博客的 cms

刚刚得到了一个用户名 fergus，难道是暴力破解？还是先看看其他的再说

网页源代码中出现了大量3.9.2，指示cms的版本信息

Exploitation

Bludit 3.9.2 - Auth Bruteforce Bypass

在网上搜索发现，该版本存在暴力破解绕过漏洞，确实是暴力破解，但是有绕过肯定是系统做了某种限制，所以要绕过这种限制才能执行暴力破解

可以看到使用方法，需要指定登录url，用户名字典和密码字典

Example Usage:

- ./exploit.py -l http://127.0.0.1/admin/login.php -u user.txt -p pass.txt

用户名和有可能就是 todo.txt 中提示的 fergus，密码的话可以使用 cewl 从网站中提取创建一个自定义列表

cewl http://10.10.10.191/ > pass.txt

然后执行漏洞利用脚本，对网站进行暴力破解，程序设置每尝试一次打印一 行，很清晰

一旦找到结果，就会停止，并且打印出来

然后登录系统

刚刚还发现了一个上传的文章，展示了在此版本中如何上传文件获取 shell，因为刚才已经登陆，在 new content 处上传 webshell

修改文件名后缀为 php，修改 uuid 值为 ../../tmp，上传后，服务器会响应仅支持......格式，但是实际已经上传成功了

再上传 .htaccess 文件

这时在kali中开启监听，然后访问 http://10.10.10.191/bl-content/tmp/php-reverse-shell.php，即可拿到 shell

然后获取一个交互式shell，并将其升级

Lateral Movement

Hugo

可以看到系统 home 中有 hugo 和 shaun 两个用户目录，但是并没有权限做什么事情

在/var/www下也有一些有趣的文件，看到一个 bludit-3.9 版本，一个 3.10 版本，猜测可能是想要替换的新版本

在 /bl-content/databases/users.php 中发现了用户 Hugo 的密码 hash

使用在线工具对其进行解密，得到了 Hugo 的密码 Password120

使用该密码切换至 Hugo 用户

Privilege Escalation

CVE-2019-14287

使用 LinPEAS 检查系统，现将脚本下载到 tmp 目录，然后给它添加执行权限，在执行脚本

脚本显示sudo的版本可能有问题

搜索sudo对应版本，发现存在本地提权漏洞

查看 sudo -l，按照上文所示输入指令，回车后即可得到root权限