WEB2靶场

WEB2靶场

一、介绍

vulnhub的一个简单靶场，找到flag，靶场地址：https://download.vulnhub.com/aiweb/AI-Web-2.0.7z

二、工具与相关知识点

nmap，dirsearch，john，目录穿越，ssrf，提权

三、环境介绍

虚拟机环境 kali/WEB 网段192.168.159.1/24 NAT模式

四、开始打靶

首先要找到目标ip，使用kali探测主机存活

arp-scan -l

得到ip：192.168.159.133

扫端口：nmap -sS -sV 192.168.192.168.159.133

得到22与80，访问80（思路80–web–指纹（cms，1day）–目录（后台，敏感）–注册登录–js—漏洞挖掘）

一个登录注册页面，可以挂着bp点点功能，分析分析包，这里可以尝试一下SQL注入，用万能密钥试一下，很可惜没有。注册一个号，发现

指纹：

ico，js，css，文件路径（命名方式)指纹 （googlehacking)

welcome… 尝试去搜指纹

searchsploit XuezhuLi FileSharing

打靶CSRF利用价值不大，这里利用任意文件读取的洞。使用给出的exp，可以读到两个可登录用户。

现在只拿到用户名，没有密码。当然这个洞还通过读取配置文件拿到我们想要的信息。扫目录看看有什么可以利用的。

使用kali自带的工具dirb

dirb http://192.168.159.133/

挨个访问路径看看有没有值得利用的点，访问webadmin提示需要登录

前面得到web服务器为apache2，百度一下他的配置文件路径为

etc/apache2/sites-enabled/000-default.conf

访问一下，在返回包里有一个用户文件地址

读取这个地址，得到了aiweb2的密码信息

linux的哈希算法是固定的，通过彩虹表可以爆破出来，

使用这个字典

SecLists/Passwords/Leaked-Databases/rockyou-45.txt at master · danielmiessler/SecLists · GitHub

爆破

密码为 c.ronaldo

拿到账户密码登录webadmin

访问robots.txt文件

给了两个允许访问的路径，访问一下：一个ping地址的窗口 -->ssrf?

在此目录中查找有趣的信息

通过管道符去查看这个目录

现在去/S0mextras/目录查看有趣的信息

考虑到隐藏文件使用 ls -al,但是没有作用，可能无法识别，尝试一下find命令

注意“.sshUser…”,目测是ssh的口令

访问

拿到口令，去连一下ssh，成功。

提权：

属于lxd用户组, lxd下一代系统容器管理器。查一下有没有洞

就使用这个脚本提，脚本在kali的库里有，再下一个容器，开一个http服务直接拉取

给权限，起容器（如果出错那就是位数的问题，vim46978.sh改下unix）

将目录挂载到主机内核，进入容器

flag{7fe64512ecd4dba377b50627f307d1678b14132f}

五、总结

ip ->nmap->80->指纹->1day->后台->ssrf->ssh->提权