Hack The Box. Прохождение Blunder. Ломаем Bludit CMS

в 15:01, , рубрики: ctf, HTB, pentest, pentesting, ralf_rt, red team, red teaming, информационная безопасность
Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 1

Продолжаю публикацию решений, отправленных на дорешивание машин с площадки HackTheBox.

Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то да умеют в области ИБ.

Организационная информация
Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем.

Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа.

Recon

Данная машина имеет IP адрес 10.10.10.191, который я добавляю в /etc/hosts.

10.10.10.191 	blunder.htb

Первым делом сканируем открытые порты. Я это делаю с помощью следующего скрипта, принимающего один аргумент — адрес сканируемого хоста:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)
nmap -p$ports -A $1

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 2

Так как на хосте работает только веб сервер, при этом стартовая страница нам ничего не дает, давайте переберем директории. Для этого используем быстрый gobuster. В параметрах укаываем, что мы хотим сканировать дирректории (dir), указываем сайт (-u), список слов(-w), расширения, которые нас интересуют (-x), количество потоков (-t).

gobuster dir -t 128 -u blunder.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-directories-lowercase.txt -x php,html,txt

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 3

Так мы находим несколько интересных файлов. Первый из них — todo.txt.

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 4

Здесь мы сразу отмечаем имя пользователя. Так же была найдена и панель входа администратора.

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 5

Мы видим CMS Bludit, давайте попробуем найти для нее эксплоиты.

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 6

И есть всего один эксплоит, включенный даже в metasploit, но для него требуются учетные данные.

Entry Point

Немного почитав про данную CMS, я нашел скрипт для перебора паролей. В качестве логина используем найденное имя из файла todo.txt. Но списки пароли из стандартных списков не подходили. И мне посоветовали использовать косвенную информацию. Для этого собираем словарь с главной страницы сайта.

cewl -d 3 -m 5 -w pass_list.txt http://blunder.htb

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 7

Немного изменив скрипт перебора, выполним брут и найдем пароль!

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 8

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 9

И теперь мы можем использовать эксплоит из metasploit.

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 10

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 11

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 12

USER

Давайте осмотримся в директории сайта, чтобы найти еще учетные данные.

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 13

Так есть файл users.php.

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 14

И есть хеши, предположительно — SHA1.

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 15

Но крякнуть их не вышло и в базе мы их не находим. Поэтому продолжим поиск на хосте и видим еще одну версию данной CMS.

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 16

А вот хеш из этой версии уже находим в базе.

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 17

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 18

Посмотрим, какие имеются пользователи.

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 19

Давайте запустим нормальный TTY шелл.

python3 -c 'import pty; pty.spawn("/bin/bash")'

И данный пароль подходит к первому же пользователю.

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 20

ROOT

Давайте посмотрим настройки sudo.

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 21

Видим интересную строку (ALL, !root). И загуглив, находим способ LPE.

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 22

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 23

Давайте получим root как скано в инструкции.

sudo -u#-1 /bin/bash

Hack The Box. Прохождение Blunder. Ломаем Bludit CMS - 24

Вы можете присоединиться к нам в Telegram. Там можно будет найти интересные материалы, слитые курсы, а также ПО. Давайте соберем сообщество, в котором будут люди, разбирающиеся во многих сферах ИТ, тогда мы всегда сможем помочь друг другу по любым вопросам ИТ и ИБ.

Автор: Ральф Фаилов

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js