Proving Grounds Practice : Algernon Walkthrough

Proving Grounds Practice : Algernon Walkthrough 

Foothole (立足點 ) :

• 掃完搜尋套件關鍵字 smartermail 發現 RCE Exploit
• 修改 python code 內容 IP 後直接利用連線成功

PE ( 提權 ) :

• 無須 PE，進入就是管理者了

注意事項 :

• 學到 SmarterMail 套件漏洞利用
• SmarterMail 9998 Port
• Exploit-DB 49216 RCE

Kali IP : 192.168.45.166

靶機 IP : 192.168.175.65

第一步掃描 Port 資訊，└─$ rustscan -a 192.168.175.65 --scripts none --ulimit 5000 | tee rustscan

snmp 掃描，└─$ sudo nmap -sU -p 162 192.168.175.65 | tee snmp，關閉沒戲

nmap，└─$ sudo nmap -sCV -A -Pn -p 21,80,135,139,445,5040,9998,17001,49664,49666,49665,49667,49668,49669 192.168.175.65 | tee nmap           

21 FTP 可以匿名登入

80 IIS 網站

445 網路芳鄰

9998 IIS 網站

看來是一台 Windows XP 工作站

21 FTP 匿名登入列舉，有四個目錄

/Logs 底下有一堆 xampp、smtpLog、delivery、profileer、popLog、imapLog 名稱開頭的 Log

看來是 xampp 網站與郵件系統的 Log 集中處

抓了幾個回來看，發現 ClamAV database

xampp Log 顯示 5222 Port 服務起不來，但 IP 看來不是靶機的 IP

其他 Log 來沒有甚麼有用的資訊

enum4linux --> nothing

whatweb 80

80 / 是 IIS Default Page

80 /robots.txt --> nothing

gobuster 甚麼都沒有發現，└─$ gobuster -w dirfuzzing.txt dir -u http://192.168.175.65 -t 150 -k -x txt,pdf,git,aspx | tee gobuster 

whatweb 9998

瀏覽器打開 9998 Port 後自動跳轉 /interface/root#/login

直接顯示 SmarterMail CMS，看到 CMS 就知道應該是這個梗了

Google 一下預設的帳號密碼，看來是 admin 與空白密碼

CMS 還有支援繁體中文~~~讚，但測試了幾組帳號密碼都無法登入

管他甚麼 CMS 都是先 metasploit 測試看看，看到 0 是 RCE 定要先試試看

show options

run 之後就進去拿到 shell 了，且是 nt authority\system 管理者權限，連 PE 都不用結束這回合

==============================我是分隔線=================================

不要用自動化工具改成手動打打看，searchsploit smartermail

依樣選用 49216 RCE 優先試試看

https://www.exploit-db.com/exploits/49216

看了一下 Code ，看來應該是改一下目標 IP 與攻擊 IP 即可

執行 python code

4444 listen 進來了，也確定是管理者權限，結束這回合