WEB2靶场
一、介绍
vulnhub的一个简单靶场,找到flag,靶场地址:https://download.vulnhub.com/aiweb/AI-Web-2.0.7z
二、工具与相关知识点
nmap,dirsearch,john,目录穿越,ssrf,提权
三、环境介绍
虚拟机环境 kali/WEB 网段192.168.159.1/24 NAT模式
四、开始打靶
首先要找到目标ip,使用kali探测主机存活
arp-scan -l
得到ip:192.168.159.133
扫端口:nmap -sS -sV 192.168.192.168.159.133
得到22与80,访问80(思路80–web–指纹(cms,1day)–目录(后台,敏感)–注册登录–js—漏洞挖掘)
一个登录注册页面,可以挂着bp点点功能,分析分析包,这里可以尝试一下SQL注入,用万能密钥试一下,很可惜没有。注册一个号,发现
指纹:
ico,js,css,文件路径(命名方式)指纹 (googlehacking)
welcome… 尝试去搜指纹
searchsploit XuezhuLi FileSharing
打靶CSRF利用价值不大,这里利用任意文件读取的洞。使用给出的exp,可以读到两个可登录用户。
现在只拿到用户名,没有密码。当然这个洞还通过读取配置文件拿到我们想要的信息。扫目录看看有什么可以利用的。
使用kali自带的工具dirb
dirb http://192.168.159.133/
挨个访问路径看看有没有值得利用的点,访问webadmin提示需要登录
前面得到web服务器为apache2,百度一下他的配置文件路径为
etc/apache2/sites-enabled/000-default.conf
访问一下,在返回包里有一个用户文件地址
读取这个地址,得到了aiweb2的密码信息
linux的哈希算法是固定的,通过彩虹表可以爆破出来,
使用这个字典
SecLists/Passwords/Leaked-Databases/rockyou-45.txt at master · danielmiessler/SecLists · GitHub
爆破
密码为 c.ronaldo
拿到账户密码登录webadmin
访问robots.txt文件
给了两个允许访问的路径,访问一下:一个ping地址的窗口 -->ssrf?
在此目录中查找有趣的信息
通过管道符去查看这个目录
现在去/S0mextras/目录查看有趣的信息
考虑到隐藏文件使用 ls -al,但是没有作用,可能无法识别,尝试一下find命令
注意“.sshUser…”,目测是ssh的口令
访问
拿到口令,去连一下ssh,成功。
提权:
属于lxd用户组, lxd下一代系统容器管理器。查一下有没有洞
就使用这个脚本提,脚本在kali的库里有,再下一个容器,开一个http服务直接拉取
给权限,起容器(如果出错那就是位数的问题,vim46978.sh改下unix)
将目录挂载到主机内核,进入容器
flag{7fe64512ecd4dba377b50627f307d1678b14132f}
五、总结
ip ->nmap->80->指纹->1day->后台->ssrf->ssh->提权