Insanity - 猜解 爆破 SQL注入 Firefox 密码脱取

主页面是html静态页，目录扫描发现三个站：

• BLUDIT CMS
• /monitoring/ 监控相关
• SquirrelMail 基于Web的开源电子邮件客户端

查找相关cve，发现有关于SquirrelMail和BLUDIT的rce，但是都需要身份认证。
关键突破点：在/news/下面有一个人名：Otis，可以考虑用Otis作为用户名进行密码爆破。
之前查找cve的时候发现BLUDIT CMS有Auth Bruteforce Bypass（授权暴力绕过）48942.py，但是爆破了一段时间无果，尝试其他两个站点。

• /monitoring/爆破成功，结果为Otis:123456
• SquirrelMail用户名密码和/monitoring/的一样。尝试了一下也可以爆破出来。

在monitoring创建一个宕机的服务器就会发送一封邮件到SquirrelMail邮箱里面。
创建服务器的name字段存在sql注入，可以在邮箱查看。

• 获取当前数据库的表名 "hosts,log,users"
• 获取 user 的列名
• 获取用户名和哈希值（然而解不出hash值

实际上另外还有一个mysql的库，mysql.user里拿到用户名密码。
1" union select 1,user,password,authentication_string from mysql.user #

sha1解密得到密码：elliot:elliot123

ssh上去，没有sudo权限。尝试各种之前学过的姿势：

• 查找SUID位
• 查找cron计划任务
• 查找可写文件
• 模糊搜索user | pass 字段
• 内核版本3.10，架构x86_64，尝试可用内核提权。机器没有gcc也造成很大困扰。
• 使用自动检测脚本unix-privesc-check，linpeas，suid3num

最后实在受不了。注意到elliot目录下有Firefox的相关文件，是不是里面也有敏感信息呢？搜索一下Firefox浏览器密码提取，果然如此：

提取Firefox浏览器缓存口令信息

定位logins.json文件，在该文件目录下使用脚本  
https://github.com/lclevy/firepwd

提取Chrome浏览器缓存口令信息

https://github.com/SD-XD/Catch-Browser

最后用户密码 root:S8Y389KJqWpJuSwFqFZHwfZ3GnegUa